Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Qualcuno può aiutarmi con il log di HJThis?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Qualcuno può aiutarmi con il log di HJThis?

Messaggioda melinda » ven gen 14, 2005 11:17 pm

Ho preso un virus, un trojan start page o un Hijacker
Premetto che ho già provato con Ad-aware e con SpyBot, ma non ho risolto niente.. questo è il log che mi risulta da HJThis ma non saprei dove mettere mano [sbigot]


Logfile of HijackThis v1.98.2
Scan saved at 22.20.39, on 14/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\System32\mgabg.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\system32\id0cm11zhfrrthd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Webshots\WebshotsTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\HJThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.virgilio.it/alice01.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da VirgilioTin
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\SHZ2XS~1.DLL
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar\01.01.1629.0\it\msntb.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\id0cm11zhfrrthd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\WebshotsTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O9 - Extra button: Umail - {F03EC3E8-363D-4EFA-A9B6-786FD0C1835C} - http://gw.virgilio.it/b2c01.umail (file missing) (HKCU)
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .png: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/alice01.home
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {A9CE3954-E2EB-4128-AA6D-7DB33017A6E7} (SatorAppLaucher Class) - http://www.fargames.com/it/Games/SatorLaucher.cab.php
O17 - HKLM\System\CCS\Services\Tcpip\..\{2457E7AC-A5F5-4C22-A226-31268464839A}: NameServer = 81.74.229.227 151.99.125.1
O20 - AppInit_DLLs: vel676vsposmjml.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
Avatar utente
melinda
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: dom set 08, 2002 1:14 pm

Messaggioda alexe » ven gen 14, 2005 11:28 pm

naturalmente aspettiamo il nostro intentidore crazy cat [8D]
Avatar utente
alexe
Bronze Member
Bronze Member
 
Messaggi: 747
Iscritto il: sab ott 30, 2004 5:39 pm
Località: Lucca ..ma FORZA PISA!!

Messaggioda crazy.cat » sab gen 15, 2005 8:39 am

Cerca se nel tuo pc ci sono questi due file vel676vsposmjml.dll,SHZ2XS~1.DLL se li trovi spostali sul desktop e rinominali, riavii il pc e li cancelli ed elimini anche i file temporanei di internet. Controlla ed elimina anche questo file id0cm11zhfrrthd.exe
Rifai la scansione con hijackthis ed elimini tutte le righe qui sotto

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\SHZ2XS~1.DLL
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\id0cm11zhfrrthd.exe
O9 - Extra button: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O16 - DPF: {A9CE3954-E2EB-4128-AA6D-7DB33017A6E7} (SatorAppLaucher Class) - http://www.fargames.com/it/Games/SatorLaucher.cab.php
O20 - AppInit_DLLs: vel676vsposmjml.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

Riavii il pc rifai la scansione e controlli che le righe non ricompaiano, riprovi a navigare e ci fai sapere come và
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre


Messaggioda melinda » sab gen 15, 2005 10:16 am

ho ancora bisogno della vostra pazienza..
non ho trovato questi 2 file vel676vsposmjml.dll,SHZ2XS~1.DLL
ma solo un file shz2xssrnx.dll, è un file di sistema o un virus?

invece ho trovato id0cm11zhfrrthd, manca l'estensione ma è un eseguibile, lo elimino direttamente o lo devo rinominare copiare sul desktop ecc?
lo so sono una frana....

grazie..
Avatar utente
melinda
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: dom set 08, 2002 1:14 pm

Messaggioda crazy.cat » sab gen 15, 2005 10:27 am

SHZ2XS~1.DLL=shz2xssrnx.dll
E' lo stesso file ha solo preso il nome corto stile dos.
Spostalo,rinominalo e poi eliminalo.

Per id0cm11zhfrrthd non avrai abilitato la visione delle estensioni dei nomi dei file,se trovi il file ancora attivo in modalità provvisioria, dal task manager (Ctrl-Alt-canc) lo termini e poi lo elimini direttamente

Il shz2xssrnx.dll dovrebbe essere lui il virus colpevole.
Fai una scansione anche con questo programma sempre dalla modlaità provvisoria
http://www.MegaLab.it/3002
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda melinda » sab gen 15, 2005 10:52 am

grazie procedo
e io che mi ero comprata il computer per rilassarmi [acc]
nel frattempo ho eseguito la versione aggiornata di HJThis non so se cambia qualcosa comunque questo è il log

Logfile of HijackThis v1.99.0
Scan saved at 10.41.01, on 15/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\System32\mgabg.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\system32\id0cm11zhfrrthd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\Programmi\Webshots\WebshotsTray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\HJThisnew\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.virgilio.it/alice01.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da VirgilioTin
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\SHZ2XS~1.DLL
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar\01.01.1629.0\it\msntb.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\id0cm11zhfrrthd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\WebshotsTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O9 - Extra button: Umail - {F03EC3E8-363D-4EFA-A9B6-786FD0C1835C} - http://gw.virgilio.it/b2c01.umail (file missing) (HKCU)
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .png: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/alice01.home
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {A9CE3954-E2EB-4128-AA6D-7DB33017A6E7} (SatorAppLaucher Class) - http://www.fargames.com/it/Games/SatorLaucher.cab.php
O17 - HKLM\System\CCS\Services\Tcpip\..\{2457E7AC-A5F5-4C22-A226-31268464839A}: NameServer = 81.74.229.227 151.99.125.1
O20 - AppInit_DLLs: cit8ffc828967ul.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
Avatar utente
melinda
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: dom set 08, 2002 1:14 pm

Messaggioda Mr.TFM » sab gen 15, 2005 11:52 am

E questo cos'è?
O20 - AppInit_DLLs: cit8ffc828967ul.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
Io lo leverei seduta stante!
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda melinda » sab gen 15, 2005 12:14 pm

cancellato id0cm11.... e spostato shz...
Immagine

ma ho visto anche queste
Immagine
le devo spostare e rinominare tutte prima di cancellarle?
Avatar utente
melinda
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: dom set 08, 2002 1:14 pm

Messaggioda crazy.cat » sab gen 15, 2005 12:39 pm

Se ti lascia fare cancellale subito.
Non avevo mai visto quei files .dll.dll.dll.dll
non si smette mai di vedere cose nuove.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda melinda » sab gen 15, 2005 1:13 pm

peggio di come pensavo..
le sposto ma le ricrea immediatamente...
Avatar utente
melinda
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: dom set 08, 2002 1:14 pm

Messaggioda crazy.cat » sab gen 15, 2005 1:51 pm

Sei riuscito ad eliminare almeno l'altra dll e le voci che ti avevo suggerito.

Ricrea solo i file .dll.dll.dll .....?
cerco altre informazioni nel mentre.

Hai usato questo programma?
http://www.MegaLab.it/3002
e cancellato poi i file temporanei di internet

Questo dovrebbere essere il tuo caso.

SWAP-X\Win-eto -
Samples of infected PC:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\j3t53zit6tthd.exe(harder version to remove)
O20 - AppInit_DLLs: v5pbrv56gdx8n4ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

The fix:
So far, there is no 'canned fix' as of yet. However, a couple involve using Killbox, to kill the offending files, of which there can be several. Variants with [Control Hnadler] in O4 entry of HJT log, must be killed first.
Also, it seems users who are using AVG are easier to clean up, as it defines the trojan, and does not let whole infection load.
This fix is a work in progress.
Ultima modifica di crazy.cat il sab gen 15, 2005 2:10 pm, modificato 1 volta in totale.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda melinda » sab gen 15, 2005 2:06 pm

al momento ce ne sono 2 o 3 che si ricreano
ad esempio dopo aver spostato e rinominato
rn51w1pt48gi3.dll
v63ngd68bxp.dll

mi ricrea

i8xyuombx69cz9.dll
w8t5nokwuguze.dll

insomma si rigenera con nomi sempre diversi..
qualcosa sono riuscita a cancellare ora riavvio e rilancio hjthis per vedere se c'è qualche cambiamento
intanto grazie per l'aiuto...
la mia testa sta scoppiando
Avatar utente
melinda
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: dom set 08, 2002 1:14 pm

Messaggioda melinda » sab gen 15, 2005 2:17 pm

rieccomi..
e sempre col virus...

allora questo è il log col computer appena acceso prima di connettermi ad internet
Logfile of HijackThis v1.99.0
Scan saved at 14.12.42, on 15/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\mgabg.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\Programmi\Webshots\WebshotsTray.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\HJThisnew\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.virgilio.it/alice01.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da VirgilioTin
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\W8T5N6~1.DLL
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar\01.01.1629.0\it\msntb.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\id0cm11zhfrrthd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\WebshotsTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O9 - Extra button: Umail - {F03EC3E8-363D-4EFA-A9B6-786FD0C1835C} - http://gw.virgilio.it/b2c01.umail (file missing) (HKCU)
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .png: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/alice01.home
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {A9CE3954-E2EB-4128-AA6D-7DB33017A6E7} (SatorAppLaucher Class) - http://www.fargames.com/it/Games/SatorLaucher.cab.php
O20 - AppInit_DLLs: w8c6s4xcm66s.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
Avatar utente
melinda
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: dom set 08, 2002 1:14 pm

Messaggioda crazy.cat » sab gen 15, 2005 3:06 pm

Riproviamo.
Fai tutto dalla modalità provvisoria
1) Fai la scansione con il programma che ti avevo suggerito (e non mi hai detto se hai usato)
2) Cancella i files temporanei di internet
3) Cerca i file W8T5N6~1.DLL (avrà un nome diverso cerca solo W8T5N6*.dll così la trovi di sicuro) e w8c6s4xcm66s.dll li sposti,li rinomini e li cancelli subito.
4) con hijackthis cancelli queste righe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\W8T5N6~1.DLL
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\id0cm11zhfrrthd.exe
O9 - Extra 'Tools' menuitem: fargames.com - {CDC047CC-6702-4f34-90A8-CCFA3290078A} - http://www.fargames.com/ (file missing) (HKCU)
O20 - AppInit_DLLs: w8c6s4xcm66s.dll

5) controlla che il file id0cm11zhfrrthd.exe sia sparito altrimenti eliminalo tu

E' più difficile del previsto.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda melinda » sab gen 15, 2005 4:03 pm

che significa in modalità provvisoria???
allora io ho fatto la scansione con cwshredder ma non mi ha trovato niente
ho cancellato i file temporanei
il file id0cm11zhfrrthd l'ho eliminato
il file W8T5N6 non si trova
ho cancellato tutte le righe con Hijackthis, ma riavviando ritorna tutto come prima.
però non credo di averlo fatto in modalità provvisoria, perché non so che è [cry]
Avatar utente
melinda
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: dom set 08, 2002 1:14 pm

Messaggioda melinda » sab gen 15, 2005 4:05 pm

compro un computer nuovo?
Avatar utente
melinda
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: dom set 08, 2002 1:14 pm

Messaggioda melinda » sab gen 15, 2005 4:30 pm

una cosa credo di averla capita...
le dll di cui parlavo che io elimino e si rigenerano...
Immagine


bè l'ultima di queste.. sembra essere quella che dà il nome al file che appare nella riga 020 del log

Logfile of HijackThis v1.99.0
Scan saved at 16.17.48, on 15/01/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\PDesk\PDesk.exe
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programmi\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Nikon\NkView6\NkvMon.exe
C:\Programmi\Webshots\WebshotsTray.exe
C:\WINDOWS\System32\mgabg.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\HJThisnew\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.virgilio.it/alice01.home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da VirgilioTin
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\T6DNWX~1.DLL
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Toolbar\01.01.1629.0\it\msntb.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINDOWS\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programmi\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Webshots.lnk = C:\Programmi\Webshots\WebshotsTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programmi\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Umail - {F03EC3E8-363D-4EFA-A9B6-786FD0C1835C} - http://gw.virgilio.it/b2c01.umail (file missing) (HKCU)
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpeg: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .png: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://gw.virgilio.it/alice01.home
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2457E7AC-A5F5-4C22-A226-31268464839A}: NameServer = 81.74.229.227 151.99.125.1
O20 - AppInit_DLLs: y6nmxrskucjsu.dll.dll.dll.dll.dll.dll.dll.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: IMAPI CD-Burning COM Service - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\System32\mgabg.exe
O23 - Service: Symantec AntiVirus Client - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

quindi io cancello le dll queste si rigenerano..la riga 020 prende nome dall'ultima dll rigenerata..
e io non ne uscirò più...
Avatar utente
melinda
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: dom set 08, 2002 1:14 pm

Messaggioda crazy.cat » dom gen 16, 2005 9:57 am

Prova a fare la scansione dei virus con questo e speriamo che lo riconosca ed elimini (tutto dalla modalità provvisoria)
http://www.MegaLab.it/
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda melinda » lun gen 17, 2005 10:55 am

forse ci sono riuscita
ho rifatto in modalità provvisoria la scansione con tutti i programmi uno dietro l'altro
Spybot
Ad-Aware
cwshredder
Stinger
hijthis
ognuno di questi, tranne cwshredder mi ha trovato almeno un centinaio di oggetti infetti, e credo che tutti insieme abbiano bloccato parte del virus
hijthis mi ha rilevato la dll infetta ma non me la cancellava nemmeno in modalità provvisoria,l'ho cancellata manualmente dalla cartella system 32 e dai registri (regedit)
ho rifatto la scansione con hijthis e la dll la rilevava ancora, anche se nella cartella system e nei registri non c'era più
ho spento e riavviato in modalità normale, e nei registri c'era ancora, sono riuscita ad eliminarla anche li col regedit, ho rifatto la scansione con HiJacckThis e nonc'era più,
grazie a tutti per i suggerimenti [std]
Avatar utente
melinda
Aficionado
Aficionado
 
Messaggi: 73
Iscritto il: dom set 08, 2002 1:14 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising