Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Log di Hijackthis da fixare

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Log di Hijackthis da fixare

Messaggioda kenny88 » sab gen 05, 2008 1:39 am

Salve gente, ho un paio di virus che im impestano la macchina, mi serve un aiutino! Posto il log di hijackthis:

Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\Programmi\Analog Devices\SoundMAX\Smtray .exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched .exe
C:\Programmi\HP\HP Software Update\HPWuSchd2 .exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\iTunes\iTunesHelper .exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programmi\Opera\Opera.exe
C:\Documents and Settings\Marco\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2D5796A2-44E0-4E50-A5A0-80BF1EE3EA73} - C:\WINDOWS\system32\ljjijhi.dll
O2 - BHO: {8ae87f02-3c1e-179a-fe84-a510a3f1b274} - {472b1f3a-015a-48ef-a971-e1c320f78ea8} - C:\WINDOWS\system32\iaeukcgx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D44EB13D-C73B-47FC-9611-5B1BD04C89DE} - C:\WINDOWS\system32\mllji.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask .exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {42C559C0-2E84-11D5-A3C6-00010219529D} (siacapi-core-install) - https://www.inlineanet.it/INLINEANET/ib ... nstall.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8142414578
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 8155614468
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E7C58D8-4E30-4909-9B56-1B4B0F770DA2}: NameServer = 151.99.125.1,151.99.0.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{C18EF1CB-BD6C-4CCC-8805-8277E7C1912A}: NameServer = 85.37.17.4 85.38.28.70
O20 - Winlogon Notify: ljjijhi - C:\WINDOWS\SYSTEM32\ljjijhi.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programmi\Windows Live\installer\WLSetupSvc.exe

Ho anche un altro problemino, sul task manager vedo lsass.exe che succhia un casino di risorse con percentuali che variano da un secondo all'altro, l'utilizzo della cpu è sempre sopra i 90 O_o. Grazie per l'aiuto!
Avatar utente
kenny88
Aficionado
Aficionado
 
Messaggi: 51
Iscritto il: ven ago 24, 2007 12:59 am

Messaggioda BeGa » sab gen 05, 2008 8:29 am

Sei affetto da Vundo: Scarica VundoFix e fai uno scan.Poi dammi i risultati [^]
Avatar utente
BeGa
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2192
Iscritto il: mer apr 18, 2007 3:13 pm

Messaggioda BeGa » sab gen 05, 2008 8:46 am

per il processo lsass.exe potrebbe essere il sasser o un processo di sistema. Dimmi se nel TaskManager il processo è System o Viene scritto Marco
Avatar utente
BeGa
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2192
Iscritto il: mer apr 18, 2007 3:13 pm


Messaggioda crazy.cat » sab gen 05, 2008 8:53 am

BeGa ha scritto:Viene scritto Marco

Vi conoscete?

Dop la scansione con vundofix, rifai la scansione con hijackthis e selezioni le caselle di queste righe e poi premi fix checked per eliminarle.

O2 - BHO: (no name) - {2D5796A2-44E0-4E50-A5A0-80BF1EE3EA73} - C:\WINDOWS\system32\ljjijhi.dll
O2 - BHO: {8ae87f02-3c1e-179a-fe84-a510a3f1b274} - {472b1f3a-015a-48ef-a971-e1c320f78ea8} - C:\WINDOWS\system32\iaeukcgx.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D44EB13D-C73B-47FC-9611-5B1BD04C89DE} - C:\WINDOWS\system32\mllji.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O20 - Winlogon Notify: ljjijhi - C:\WINDOWS\SYSTEM32\ljjijhi.dll
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda BeGa » sab gen 05, 2008 9:32 am

Non ci conosciamo crazy, parla .......il log [:D]
Stavo per dirlo anchio quelloche hai scritto dopo.....
Avatar utente
BeGa
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2192
Iscritto il: mer apr 18, 2007 3:13 pm

Messaggioda Andy94 » sab gen 05, 2008 10:34 am

BeGa ha scritto:Non ci conosciamo crazy, parla .......il log [:D]
Stavo per dirlo anchio quelloche hai scritto dopo.....


Infatti... gurda questa voce crazy. E' qui che c'è il nome:
C:\Documents and Settings\Marco\Desktop\HiJackThis_v2.exe
Avatar utente
Andy94
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 9998
Iscritto il: lun apr 09, 2007 8:39 pm

Messaggioda BeGa » sab gen 05, 2008 12:10 pm

Andy94 ha scritto:
BeGa ha scritto:Non ci conosciamo crazy, parla .......il log [:D]
Stavo per dirlo anchio quelloche hai scritto dopo.....


Infatti... gurda questa voce crazy. E' qui che c'è il nome:
C:\Documents and Settings\Marco\Desktop\HiJackThis_v2.exe


infatti....
Avatar utente
BeGa
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2192
Iscritto il: mer apr 18, 2007 3:13 pm

Messaggioda kenny88 » sab gen 05, 2008 2:51 pm

Intanto vi ringrazio per la tempestività delle risposte, siete sempre i migliori! [^]
Appena rientro stasera faccio tutta la procedura e poi vi posto i risultati. [:)]
Avatar utente
kenny88
Aficionado
Aficionado
 
Messaggi: 51
Iscritto il: ven ago 24, 2007 12:59 am

Messaggioda kenny88 » sab gen 05, 2008 9:51 pm

Allora BeGa, dal task manager il servizio lsass.exe appare come SYSTEM, lo scan con Vundofix invece mi segnala una 20ina di files .dll in system32 [cry] ma non so come postarti lo scan, posso usare Remove vundo su quei file adesso?
Avatar utente
kenny88
Aficionado
Aficionado
 
Messaggi: 51
Iscritto il: ven ago 24, 2007 12:59 am

Messaggioda crazy.cat » dom gen 06, 2008 8:56 am

kenny88 ha scritto:posso usare Remove vundo su quei file adesso?

Devi usare remove vundo.
Quando i molti governano, pensano solo a contentar sé stessi, si ha allora la tirannia più balorda e più odiosa: la tirannia mascherata da libertà.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda BeGa » dom gen 06, 2008 10:45 am

kenny88 ha scritto:Allora BeGa, dal task manager il servizio lsass.exe appare come SYSTEM


[ciao] Bene, come ti avevo detto, lsass.exe può essere sia un processo di sistema che un virus trojan. ora fai una ricerca da start cerca e scrivi lsass.exe perché sia virus che applicazone sono in c:\windows\system32. Poi metti il file su www.virustotal.com.
Avatar utente
BeGa
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2192
Iscritto il: mer apr 18, 2007 3:13 pm

Messaggioda kenny88 » dom gen 06, 2008 6:15 pm

Il sassero lo avevo preso un bel po' di tempo fa e lo avevo già debellato, questo exe che ho ora è quello giusto per fortuna, per il resto il pc è tornato alla sua normale velocità ma avast mi segnala spesso dei trojan [sh], al termine dell'operazione con vundofix il pc è stato rebootato con una configurazione ininiziale diagnostica e non con quella normale.
Adesso ho solo un piccolo dubbio dato che riportando le opzioni dello startup su normale probabilmente mi verrebbe caricato quel virus mlljii.exe che avevo trovato prima.....boh
Avatar utente
kenny88
Aficionado
Aficionado
 
Messaggi: 51
Iscritto il: ven ago 24, 2007 12:59 am

Messaggioda ste_95 » dom gen 06, 2008 6:19 pm

C'è un articolo in proposito:

http://www.MegaLab.it/2785
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Messaggioda kenny88 » dom gen 06, 2008 6:46 pm

Grazie anche a te ste [^] dall'ultimo scan con vundofix non risultano ulteriori infezioni!
Avatar utente
kenny88
Aficionado
Aficionado
 
Messaggi: 51
Iscritto il: ven ago 24, 2007 12:59 am

Messaggioda BeGa » dom gen 06, 2008 6:52 pm

ste_95 ha scritto:C'è un articolo in proposito:

http://www.MegaLab.it/2785


l'avevo scritto qualche post più in su....
Avatar utente
BeGa
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 2192
Iscritto il: mer apr 18, 2007 3:13 pm


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising