Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Hijackthis, logfile dubbia..

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Hijackthis, logfile dubbia..

Messaggioda Eril » gio feb 17, 2005 10:01 pm

Ciao a tutti,
ho un problema con la pagina iniziale di explorer. Io ho impostato virgilio, ma un qualche virus che mi sono beccata ha impostato http://******/index.php e non riesco a toglierlo! [cry+]
ho usato hijackthis, ma non sono sicura di cosa togliere e cosa no, potete darmi una mano? [cry]

Logfile of HijackThis v1.99.0
Scan saved at 22.00.08, on 17/02/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe
C:\WINDOWS\System32\sistray.EXE
C:\WINDOWS\System32\khooker.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programmi\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\MSSQL7\binn\sqlservr.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
c:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
C:\Programmi\Asus\ASUS Hotkey\Hotkey.exe
C:\WINDOWS\DvzCommon\DvzMsgr.exe
C:\Programmi\Palm\HOTSYNC.EXE
c:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\MSSQL7\binn\sqlagent.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\systime.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\Silvia\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Tin.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Progra~1\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Virgilio Toolbar - {D3403F28-7D39-435F-A8CB-45016C29E48E} - C:\Programmi\Virgilio Toolbar\VirgilioBand.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Progra~1\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [pccguide.exe] "c:\Programmi\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "c:\Programmi\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "c:\Programmi\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [OWS Setup CmdLine] "C:\Programmi\File comuni\Microsoft Shared\Web Server Extensions\40\bin\cfgwiz.exe" /pkg "Office 2000 Server Extensions"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LanGuard] "C:\WINDOWS\languard.exe"
O4 - HKLM\..\Run: [wavdriver] "C:\WINDOWS\wavdriver.exe"
O4 - HKLM\..\Run: [netcom] C:\WINDOWS\netcom.exe
O4 - HKLM\..\Run: [avimix] "C:\WINDOWS\avimixer.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Manager HotSync.lnk = C:\Programmi\Palm\HOTSYNC.EXE
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programmi\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Hotkey.lnk = C:\Programmi\Asus\ASUS Hotkey\Hotkey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Umail - {326F2F01-E3C8-40F7-A3D7-43CC50788514} - http://www.umail.it (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.virgilio.it/free
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {C606BA60-AB76-48B6-96A7-2C4D5C386F70} (PreQualifier Class) - http://help.virgilio.it/pctester/files/ ... reQual.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF8637A6-93AE-4055-9E17-2646ECDAB587}: NameServer = 217.141.255.204 151.99.125.1
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: InCD File System Service - Unknown - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: Office Server Extensions Notification Service - Unknown - C:\Programmi\Microsoft Office\Office\OWSTIMER.EXE
O23 - Service: PC-cillin PersonalFirewall - Trend Micro Inc. - c:\Programmi\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service - Trend Micro Inc. - c:\Programmi\Trend Micro\PC-cillin 2002\Tmntsrv.exe


Grazie mille!

Eril
Avatar utente
Eril
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 17, 2005 9:41 pm

Messaggioda crazy.cat » ven feb 18, 2005 6:52 am

Dalla modalità provvisoria fai la scansione con questo programma
http://www.intermute.com/spysubtract/cw ... nload.html
cancella anche i file temporanei di internet e queste righe qui sotto

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe

Controlla poi se il file gdnit10.exe è sul tuo pc, nel caso ci sia eliminalo.

Benvenuto e facci sapere.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Eril » ven feb 18, 2005 12:20 pm

Prima di tutto grazie per l'aiuto!
dunque, ho provato a cancella re i file di hijackthis che mi avevi detto..
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
sono ricomparsi alla scansione successiva
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
invece sembra sparito.
Ho avviato anche cwshredder e in effetti mi ha trovato questo systime di cui sopra, l'ho eliminato.
Per cercare il file che mi hai detto, gdnit10.exe , ho usato la funzione di ricerca del pc, nn so se basta.. comunque con quella non l'ho trovato.
A questo punto però, la pagina iniziale non era ancora a posto. Così mi hanno suggerito di aprire start, esegui e digitare msconfig. In avvio ho trovato due file SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows che per elemento di avvio e comando hanno caratteri strani.. li ho disabilitati e adesso la pagina è virgilio, com volevo io. Resta il fatto che hijackthis mi da ancora
1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/home/index.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
e non vogliono saperne di andarsene. In più un amico mi ha detto che i file che ho disattivato in esegui non possono comunque essere rimossi, è vero?
Bè, in teoria il problema è risolto, però non vorrei che a lungo andare danneggiassero il pc..
grazie ancora, anche per il benvenuto! [:-D]

Eril
Avatar utente
Eril
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 17, 2005 9:41 pm


Messaggioda crazy.cat » ven feb 18, 2005 12:31 pm

Fai un giro di pulizia anche con Adware, quelle righe devono sparire.
Il file gdnIT10.exe tenta di scaricarmelo sul mio pc appena mi collego a quell'indirizzo,controlla nelle proprietà delle cartelle di aver abilitato la visione dei file nascosti.

Ho visto che hai due antivirus instllati, ne basta uno solo, due insieme fanno solo casino.

Codice: Seleziona tutto
In più un amico mi ha detto che i file che ho disattivato in esegui non possono comunque essere rimossi, è vero?

Dipende, con le buone o cattive si tolgono senza troppi problemi.

Se vuoi farti un ulteriore controllo per eventuali virus.
http://www.MegaLab.it/2333
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Eril » ven feb 18, 2005 12:57 pm

[applauso] [applauso] [applauso]
Bravissimo! con adware i file sono spariti!
Ho controllato e la visualizzazione dei file nascosti è attiva, ma gdnIT10.exe non lo trova proprio..
in realtà di antivirus ne ho più di uno, non credevo fosse un problema.. pc-cilin, che era già sul pc ma che nn riesce più a scaricare gli aggiornamenti; poi ho scaricato anche adware e avg free.. fin'ora nn hanno dato problemi, però se devo lasciarne uno solo, quale è il migliore?
Mmmmm.. con le buone o con le cattive quei file si tolgono? Puoi dirmi come? [sbigot]

Eril
Avatar utente
Eril
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 17, 2005 9:41 pm

Messaggioda crazy.cat » ven feb 18, 2005 1:07 pm

Se pc-cillian non si aggiorna più è inutile lasciarlo sul pc ad occuparti ram e spazio sul hd.
Mantieni un Avg, AntivirPe o Avast, che sono i tre antivirus freeware, regolarmente aggiornati e ti basta uno di quelli.

I file da eliminare, dipende dal tipo di file, se magari fosse un virus può magari qualche problema in più.Ma in un modo o nell'altro si procede sempre.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda Eril » ven feb 18, 2005 2:10 pm

Bè, il fatto è che i file hanno per elemento di avvio e comando caratteri strani che non mi permettono di capire dove si sono messi, e la funzione di ricerca del pc non riesce a trovarli.. bè, comunque non danno più problemi, quindi spero che non sia grave lasciarli lì..
Grazie dell'aiuto, sei stato molto gentile! [:-D]

Eril
Avatar utente
Eril
Neo Iscritto
Neo Iscritto
 
Messaggi: 14
Iscritto il: gio feb 17, 2005 9:41 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising