Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Hijackthis

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Hijackthis

Messaggioda eLiSa2981 » ven mar 18, 2005 10:46 am

Qualcuno mi controlla i processi per piacere? Sto computer è strano forte...

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Yahoo!\Messenger\ypager.exe
C:\Programmi\Ahead\Nero\nero.exe
C:\WINDOWS\System32\imapi.exe
C:\Programmi\Windows Media Player\wmplayer.exe
E:\Utilità [Programmi]\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://channels.aimtoday.com/search/aimtoolbar.jsp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programmi\File comuni\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programmi\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [msgina] C:\WINDOWS\System32\msgina\wuauclt2.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programmi\WashAndGo\checker.exe /check
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\Ashampoo\ASHAMP~1\PopUpKiller.exe
O8 - Extra context menu item: &AIM Search - res://C:\Programmi\AIM Toolbar\AIMBar.dll/aimsearch.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programmi\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programmi\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/c ... /tt3_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsup ... SupCtl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Clien ... /setup.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 2370227285
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by102fd.bay102.hotmail.msn.com/a ... Atchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{A424D45B-4EC2-48B3-8FA5-6B86DB4F7E3E}: NameServer = 217.141.250.206 151.99.125.1
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
Avatar utente
eLiSa2981
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer mar 16, 2005 11:13 am
Località: Sicilia

Messaggioda kalarot » ven mar 18, 2005 2:38 pm

vai qui: http://hijackthis.de/it e posta il tuo log e ti verrà dato chiamimolo così il responso io lo uso per evitare di fare casini...

comunque ho visto ecco cosa è di sospetto:

O4 - HKCU\..\Run: [msgina] C:\WINDOWS\System32\msgina\wuauclt2.exe Sconosciuto
Sconosciuto
Hit rate: 14 % (risultato) Applicazione sconosciuta.


O8 - Extra context menu item: &AIM Search - res://C:\Programmi\AIM Toolbar\AIMBar.dll/aimsearch.htm Sospetto
Sospetto L'oggetto &AIM Search è stato identificato come sospetto.
(questa sembra una toolbar)


O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL Abbastanza sospetto
Abbastanza sospetto Pulsanti sconosciuti o gli elementi nel menù 'Extras' dovrebbero essere eliminati. Da eliminare se non conoscete l'oggetto 'Ricerche '.


O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Clien ... /setup.exe Abbastanza sospetto
Abbastanza sospetto Oggetti ActiveX sconosciuti oppure oggetti ActiveX provenienti da siti web sconosciuti devono sempre essere eliminati. Se il nome dell'oggetto ActiveX o dell'indirizzo (URL) contiene le parole 'dialer', 'casino', 'free plugin' ecc, deve essere immediatamente cancellato (pulsante Fix di HijackThis)! Controllate se conoscete il sito web altrimenti eliminatelo (Fix).


O17 - HKLM\System\CCS\Services\Tcpip\..\{A424D45B-4EC2-48B3-8FA5-6B86DB4F7E3E}: NameServer = 217.141.250.206 151.99.125.1 Abbastanza sospetto
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix). Conoscete l'indirizzo IP o il Dominio '217.141.250.206 151.99.125.1'? Se no, eliminate questo oggetto.

controlla meglio te queste voci in fondo io non so che tipo di programmi hai installato, per l'ultima voce non toglierla è apposto l'ho anch'io ed ho provata a togliere non mi funzionava più la posta di yahoo
Avatar utente
kalarot
Neo Iscritto
Neo Iscritto
 
Messaggi: 4
Iscritto il: ven mar 18, 2005 12:51 am

Messaggioda thomas » ven mar 18, 2005 2:53 pm

kalarot ha scritto:vai qui: http://hijackthis.de/it e posta il tuo log e ti verrà dato chiamimolo così il responso io lo uso per evitare di fare casini...


La stessa cosa la facciamo anche noi, in maniera manuale però!
Ci spostiamo nella sezione sicurezza
Avatar utente
thomas
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 6858
Iscritto il: mer lug 09, 2003 6:30 pm
Località: Parma


Messaggioda crazy.cat » ven mar 18, 2005 6:49 pm

Come già detto più volte quel sito di analisi è buono ma non perfetto.
Non può segnalare come pericoloso un componente di office,
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

Questo viene segnalato in rosso come sospetto
08 - Extra context menu item: &AIM Search - res://C:\Programmi\AIM Toolbar\AIMBar.dll/aimsearch.htm
E questa pagina viene segnalata come sicura, peccato che siano la stessa cosa alla fine, uno spyware
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://channels.aimtoday.com/search/aimtoolbar.jsp

Passiamo al tuo problema,cancella queste voci con hijackthis e fai le scansioni con i programmi che suggerisco più sotto

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://channels.aimtoday.com/search/aimtoolbar.jsp
O8 - Extra context menu item: &AIM Search - res://C:\Programmi\AIM Toolbar\AIMBar.dll/aimsearch.htm
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/Clien ... /setup.exe

http://www.sophos.com/virusinfo/analyses/trojiyush.html (Ecco il virus non spiegato per niente nell'altra analisi del log)
O4 - HKCU\..\Run: [msgina] C:\WINDOWS\System32\msgina\wuauclt2.exe

Disattiva il ripristino della configurazione e riavvia il pc prima di tutto.
Scaricati questo programma e poi l'update
http://www.backup.tc/downloads/FreeSpyw ... ner9.5.exe
Update: http://update.uploadnet.com/scg/Definition2.829.exe
Installa il programma e poi fai l'aggiornamento manualmente.

Scaricati e aggiorna anche questo e fai la scansione dalla modalità provvisoria
http://www.MegaLab.it/2333
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda eLiSa2981 » dom mar 20, 2005 11:41 am

Ho formattato.. il pc andava troppo male.. Speriamo bene stavolta!
Grazie a tutti comunque!
Avatar utente
eLiSa2981
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer mar 16, 2005 11:13 am
Località: Sicilia

Messaggioda Mr.TFM » dom mar 20, 2005 11:50 am

eLiSa2981 ha scritto:Ho formattato.. il pc andava troppo male.. Speriamo bene stavolta!
Grazie a tutti comunque!
Della serie: "a mali estremi, estremi rimedi!" Ihihih!!!!
MegaLab è una potentissima droga virtuale.
"Nella setta del Codice Macintosh si può entrare, ma non se ne può uscire." V. ZUCCONI
Avatar utente
Mr.TFM
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 23387
Iscritto il: gio mar 18, 2004 11:46 am
Località: Livorno Ferraris (Vercelli)

Messaggioda alexe » dom mar 20, 2005 12:33 pm

Mr.TFM ha scritto:
eLiSa2981 ha scritto:Ho formattato.. il pc andava troppo male.. Speriamo bene stavolta!
Grazie a tutti comunque!
Della serie: "a mali estremi, estremi rimedi!" Ihihih!!!!
[:-D] [:-D] [:-D] [:-D] [:-D] [:-D]
Avatar utente
alexe
Bronze Member
Bronze Member
 
Messaggi: 747
Iscritto il: sab ott 30, 2004 5:39 pm
Località: Lucca ..ma FORZA PISA!!


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti

cron
Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising