Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

Possibile Virus + Log di hijack this

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

Possibile Virus + Log di hijack this

Messaggioda kenny88 » lun set 01, 2008 8:28 pm

Prima di tutto BENTORNATI UP [^] ieri sera sono passato per chiedere aiuto e ho trovato il countdown attivo ma per fortuna oggi siete di nuovo operativi!

Ecco il problema: dopo aver disinstallato Nero8 mi sono beccato un virus (suppongo?), ho fatto girare l'antivirus e ho controllato con spywareblaster e affini, questo il log di hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21.07.37, on 01/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.ex
C:\Programmi\Opera\Opera.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\Marco\Documenti\File Ricevuti\Antivirus\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programmi\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8142414578
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 8155614468
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E7C58D8-4E30-4909-9B56-1B4B0F770DA2}: NameServer = 151.99.0.100,151.99.125.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{C18EF1CB-BD6C-4CCC-8805-8277E7C1912A}: NameServer = 85.37.17.4 85.38.28.70
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

---

Mi preoccupa il fatto di vedere ancora roba di Nero che ho appena disinstallato, non è forse quello il virus? E poi anche le due voci con file missing, che devo fixare? Grazie in anticipo per la risposta come sempre! [^]
Avatar utente
kenny88
Aficionado
Aficionado
 
Messaggi: 51
Iscritto il: ven ago 24, 2007 12:59 am

Re: Possibile Virus + Log di hijack this

Messaggioda ste_95 » lun set 01, 2008 8:55 pm

Il log è pulito.

Quali sono i problemi che riscontri.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Possibile Virus + Log di hijack this

Messaggioda kenny88 » lun set 01, 2008 9:02 pm

Grazie, stavo appunto per modificare....riscontro anche un paio di cose strane cioè che su google e su un altro paio di siti trovo la grandezza dei caratteri aumentata rispetto a prima e molti dei link che google mi da come risultato delle ricerche mi reindirizzano altrove con roba tipo abcjmp.com e poi ho notato parecchi spam pubblicitari fastidiosi che prima non avevo con Opera.
Avatar utente
kenny88
Aficionado
Aficionado
 
Messaggi: 51
Iscritto il: ven ago 24, 2007 12:59 am


Re: Possibile Virus + Log di hijack this

Messaggioda ste_95 » lun set 01, 2008 9:13 pm

Scarica GMER, poi segui i seguenti passaggi:

--- 1° passaggio ---
Avviamo gmer
clicchiamo su > > >
Clicchiamo su Autostart
mettiamo il segno di spunta a Show All
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.

--- 2° passaggio ---
Sempre nel programma appena scaricato (gmer),
clicchiamo su Rootkit
clicchiamo su Scan
al termine della scansione, clicchiamo su Copy
Apriamo il blocco note e premiamo CTRL+V (oppure clicchiamo su Modifica e poi su Incolla).
Salviamo il file e carichiamolo su FreeFileHosting
Postiamo qui il link che ci viene assegnato.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Possibile Virus + Log di hijack this

Messaggioda kenny88 » lun set 01, 2008 10:30 pm

Ok lo farei volentieri ma non riesco a scaricare quello zip e nemmeno ad arrivare su quel sito e temo proprio che sia un problema del mio pc, anche tutto il resto mi va parecchio lento, si incricca sulle pagine web e ci mette un sacco a caricare ed in genere la mia connessione è un missile. Ora ritento ad oltranza e poi ti faccio sapere!
Avatar utente
kenny88
Aficionado
Aficionado
 
Messaggi: 51
Iscritto il: ven ago 24, 2007 12:59 am

Re: Possibile Virus + Log di hijack this

Messaggioda kenny88 » mar set 02, 2008 1:51 am

Quando lancio l'exe di gmer mi dice questa cosa: "Warning!! Loaded GMER's driver version is incompatible with the currently running GMER version. You need to stop the driver with the command "net stop gmer" or restart your computer."
Provando entrambe le soluzioni la finestra riappare sempre quando lancio il programma. Ogni tanto dopo aver aperto mi dice anche "C\windows\system32\config\system: Impossibile accedere ai file. Il file è utilizzato da un altro processo."

Una volta lanciato il programma dopo aver premuto OK ignorando l'avvertimento di cui sopra vado su autostart show all e scan ma non succede niente, su rootkit invece la voce scan è oscurata e non posso nemmeno usarla [uhm]
Avatar utente
kenny88
Aficionado
Aficionado
 
Messaggi: 51
Iscritto il: ven ago 24, 2007 12:59 am

Re: Possibile Virus + Log di hijack this

Messaggioda ste_95 » mar set 02, 2008 6:38 am

Portati in C:\WINDOWS, ed esegui il file gmer_uninstall.cmd. Quindi, riprova a utilizzare GMER.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Possibile Virus + Log di hijack this

Messaggioda kenny88 » mar set 02, 2008 12:50 pm

Fatto e mi escono sempre le solite due finestre di avvertimento quando lancio gmer e il programma è ancora inuitilizzabile, questo anche dopo aver riavviato il pc. [V]
Avatar utente
kenny88
Aficionado
Aficionado
 
Messaggi: 51
Iscritto il: ven ago 24, 2007 12:59 am

Re: Possibile Virus + Log di hijack this

Messaggioda Amantide » mar set 02, 2008 1:34 pm

Vedi se riesci ad eseguire la scansione con Kaspersky online e posta qui il suo report tramite il tag LOG.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Possibile Virus + Log di hijack this

Messaggioda Max01 » mar set 02, 2008 2:44 pm

Se ci riesci prova anche a fare una scansione con Malwarebytes e Superantispyware.
"Vederselo davanti è un’esperienza che non si dimentica. Il Maine Coon è davvero un gatto enorme, imponente e regale.
Avatar utente
Max01
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1975
Iscritto il: sab feb 23, 2008 3:00 pm
Località: Firenze

Re: Possibile Virus + Log di hijack this

Messaggioda kenny88 » mar set 02, 2008 8:57 pm

Grazie per le risposte ma non riesco a fare la scansione online con kapersky, mi da problema di connessione come faceva ieri per il link allo zip di gmer...boh, intanto ho fatto una scansione con Spybot SeD e ho trovato 5 voci trojans, uno di questi è downloader.rid mentre le altre 4 sono Virtumonde che dovrebbe essere un virus di cui ho sentito parlare purtroppo [V]
Provo a correggere il problema con spybot ma non penso che sarà sufficiente, intanto provo di nuovo con la scansione online di kapersky e poi vi aggiorno di nuovo. [^]
Avatar utente
kenny88
Aficionado
Aficionado
 
Messaggi: 51
Iscritto il: ven ago 24, 2007 12:59 am

Re: Possibile Virus + Log di hijack this

Messaggioda Amantide » mar set 02, 2008 9:19 pm

Per rimuovere Virtumonde devi usare il VundoFix, il link per il download e l'istruzioni trovi qui.

Fai anche la scansione con ComboFix, Ha le capacità di rimuovere le più svariate schifezze.
Ricordati di disconnetterti da internet e chiudere l'antivirus prima di eseguirli ed alla fine allega qui i report che creeranno.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: Possibile Virus + Log di hijack this

Messaggioda kenny88 » mar set 02, 2008 10:50 pm

Vundofix lo avevo già usato mesi fa per pulire appunto vundo, fortunatamente avevo ancora il fix sul pc e ho fatto una scansione ma non ha trovato niente, sussite il problema di internet lento e anche quello dei redirect da google e ogni volta che tento di aprire un link con antivirus/antyspyware et simila come quelli che mi state postando opera si blocca mentre IE mi dice che è impossibile connettersi, ho anche un sacco di messaggi pubblicitari e di spam che prima non avevo. Ci sono dei sintomi simili ai miei nel thread generale dei virus, magari provo a fare quello che c'è scritto la.
Avatar utente
kenny88
Aficionado
Aficionado
 
Messaggi: 51
Iscritto il: ven ago 24, 2007 12:59 am

Re: Possibile Virus + Log di hijack this

Messaggioda kenny88 » mar set 02, 2008 11:22 pm

Quando tento di cercare gmer, kapersky, nod32 o qualsiasi altro nome legato alla sicurezza informatica IE non può connettersi e Opera non carica la pagina restando fermo su quella precedente (e mi genera anche un sacco di link google ad eazel italia o eset che sono siti pericolosi da quanto ho letto quì), volevo provare undll e cercare di rimuovere manualmente il problema perché mi sembra che ci siano parecchie analogie con questo: viewtopic.php?f=33&t=43335#p373757

Sembra che questo virus mi impedisca di scaricare la cura [V]
Avatar utente
kenny88
Aficionado
Aficionado
 
Messaggi: 51
Iscritto il: ven ago 24, 2007 12:59 am

Re: Possibile Virus + Log di hijack this

Messaggioda ste_95 » mer set 03, 2008 7:05 am

Crea il MegaLabCD e fai il boot da quello all'avvio. Dopo che lo hai avviato apri il menù Start -> Programmi -> Antivirus -> Avira Antivir.

Scansiona con Antivir tutto il computer, ed elimina tutti i malware che trova.
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am

Re: Possibile Virus + Log di hijack this

Messaggioda kenny88 » ven set 05, 2008 1:25 pm

Ho avuto qualche problemino nella compilazione corretta del MegalabCD ma alla fine ci sono riuscito, per fortuna avevo aggiornato tutte le voci prima di creare la iso perché una volta arrivato sul nuovo desktop non sono riuscito a connettermi ad internet ma a quanto pare le varie scansioni che ho fatto coi prodotti contenuti nel vostro ottimo CD hanno dato buoni risultati, per ora aspetto a cantare definitivamente vittoria ma il PC sembra tornato alla sua solita velocità ed ho rimosso un bel po' di sporcizia.....che dire siete sempre i migliori e vi ringrazio ancora una volta! [^]
Colgo inoltre l'occasione per segnalare a tutti quelli che non lo hanno ancora fatto di compilare il proprio MegaLab CD per ogni evenienza, io prenderò l'abitudine di usarlo di frequente per tenere il pc pulito. [^]
Avatar utente
kenny88
Aficionado
Aficionado
 
Messaggi: 51
Iscritto il: ven ago 24, 2007 12:59 am


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising