Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

hook.dll. Probabile Trojan!Help!

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

hook.dll. Probabile Trojan!Help!

Messaggioda Pct » lun nov 24, 2008 8:16 pm

Ciao a tutti.

I miei problemi sono inziati qualche giorno fa.

Nel pc di famiglia,mia sorella, navigando in internet,nonostante Avira Antivir Premium installato, si era beccata ugualmente un bel worm(evidentemente cliccare ovunque alla fine è letale, qualsiasi software si possieda).

Avira era riuscito a bloccare solo alcuni file infetti, ma non tutti: infatti,si aprivano ancora delle pagine pubblicitarie bianche.

Ho quindi rimosso manualmente i rimasugli del worm(tra cui un file chiamato prun.exe), o almeno..così credevo!

Ultimamente infatti, nonostante non si aprissero più le pagine internet, erano aumentate le Blue Screen of death(o come si scrive).Essendo finita la licenza del mio Avira Antivir Premium, ho installato la versione Completa di Spyware Doctor Con Antivirus 6. Appena installato ed aggiornato, mi ha subito rilevato con la protezione in tempo reale un trojan nel file C:\Windows\System32\hook.dll.

All'inizio pensavo che fosse un falso positivo di Spyware Doctor,perché appena ha messo in quarantena il file, la barra delle applicazioni e le icone nel desktop sono sparite, e il task manager mi dava messaggi di errore (hook.dll,disco non presente).

Ho così ripristinato il file, rimosso Spyware Doctor Con Antivirus, e temporaneamente installato Norton Antivirus 2009(per curiosità [bleh] ).

Ho fatto così ricerche sul file, ho così scoperto che molto probabilmente era davvero un Trojan.

Eccolo qua: http://www.processlibrary.com/directory ... hook/20068

Per ora,solo Spyware Doctor Con Antivirus e VBA32 con l'euristica lo rilevano: http://www.virustotal.com/it/analisis/1 ... bf6a4ab6d2

http://www.threatexpert.com/report.aspx ... 81d3617353

. Il file è iniettato in esplora risorse ,Spyware Doctor me lo rilevava appunto come : Explorer.exe (hook.dll), infected with Trojan-Spy.Agent.BYW .

Ora: come faccio a rimuoverlo? Pensavo di averlo già rimosso completamente. Se però rimuovo questo file, tutte le icone sul desktop e la barra delle applicazioni spariscono(non ho provato a riavviare il pc).Quando erano sparite, avevo ripristinato il file dalla quarantena, e dopo ho nuovamente lanciato explorer.exe dal Task Manager.

Che faccio? Questo è il log di Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20.13.08, on 24/11/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\Programmi\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\Office-Web\Office-Web Center\Panel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Java\jre1.6.0_07\bin\jucheck.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Documents and Settings\Fabry\Desktop\Icone\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1040
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programmi\Norton AntiVirus\Engine\16.0.0.125\IPSBHO.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [LASER Mouse] "C:\Programmi\Office-Web\Office-Web Center\Panel.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-21-1645522239-2111687655-725345543-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Dany')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/ ... .6.108.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/re ... NPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-U ... E_UNO1.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se5036.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://wcucciol8eith.spaces.live.com/Ph ... nPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D8B2905-22CF-488E-BA57-4218E0FA654D}: NameServer = 85.37.17.8 85.38.28.73
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: iolo FileInfoList Service (ioloFileInfoList) - Unknown owner - C:\Programmi\iolo\common\lib\ioloServiceManager.exe (file missing)
O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - C:\Programmi\iolo\common\lib\ioloServiceManager.exe (file missing)
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Programmi\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 6663 bytes
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Amantide » lun nov 24, 2008 10:26 pm

Scarica ComboFix ed esegui la scansione seguendo queste istruzioni (giù in fondo). Al termine della scansione verrà creato il file di report C:\combofix.txt, copia qui il suo contenuto.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: hook.dll. Probabile Trojan!Help!

Messaggioda ste_95 » mar nov 25, 2008 8:24 am

Faccio un appunto qui, visto che non riusciamo a beccarci. Non ti sto evitando, è solo che vieni online quando non ci sono. [;)]

/OT
«A volte è meglio tacere e sembrare stupidi che aprir bocca e togliere ogni dubbio.» Oscar Wilde
Avatar utente
ste_95
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 17271
Iscritto il: lun ago 06, 2007 11:19 am


Re: hook.dll. Probabile Trojan!Help!

Messaggioda Pct » mar nov 25, 2008 2:26 pm

Grazie mille dell'aiuto! Ecco il Log di Combofix :

ComboFix 08-11-24.03 - Fabry 2008-11-25 14.01.27.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1040.18.625 [GMT 1:00]
Eseguito da: c:\documents and settings\Fabry\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\a.exe

.
((((((((((((((((((((((((( Files Creati Da 2008-10-25 al 2008-11-25 )))))))))))))))))))))))))))))))))))
.

2008-11-25 13:45 . 2008-11-25 13:45 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Symantec
2008-11-23 14:58 . 2008-11-23 14:58 <DIR> d-------- c:\programmi\Symantec
2008-11-23 14:58 . 2008-11-23 14:59 <DIR> d-------- c:\programmi\File comuni\Symantec Shared
2008-11-23 14:58 . 2008-11-23 14:58 124,464 --a------ c:\windows\system32\drivers\SYMEVENT.SYS
2008-11-23 14:58 . 2008-11-23 14:58 60,808 --a------ c:\windows\system32\S32EVNT1.DLL
2008-11-23 14:58 . 2008-11-23 14:57 35,888 -ra------ c:\windows\system32\drivers\SymIM.sys
2008-11-23 14:58 . 2008-11-23 14:58 10,635 --a------ c:\windows\system32\drivers\SYMEVENT.CAT
2008-11-23 14:58 . 2008-11-23 14:58 806 --a------ c:\windows\system32\drivers\SYMEVENT.INF
2008-11-23 14:57 . 2008-11-25 13:33 <DIR> d-------- c:\windows\system32\drivers\NAV
2008-11-23 14:57 . 2008-11-23 14:57 <DIR> d-------- c:\programmi\Windows Sidebar
2008-11-23 14:57 . 2008-11-23 14:57 <DIR> d-------- c:\programmi\Norton AntiVirus
2008-11-23 14:57 . 2008-11-23 14:58 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Norton
2008-11-23 14:56 . 2008-11-23 14:56 <DIR> d-------- c:\programmi\NortonInstaller
2008-11-23 14:56 . 2008-11-23 14:56 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\NortonInstaller
2008-11-23 12:55 . 2008-11-23 12:55 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\Avg8
2008-11-22 15:04 . 2008-11-22 15:04 29 --a------ c:\windows\Battle.ini
2008-11-17 20:26 . 2008-11-17 20:26 <DIR> d-------- C:\Fabri
2008-11-16 23:04 . 2008-11-16 23:04 <DIR> d-------- c:\documents and settings\Dany\Dati applicazioni\NI.GSCNS
2008-11-16 11:38 . 2008-11-16 11:38 <DIR> d-------- c:\programmi\SolSuite
2008-11-16 11:38 . 2008-11-19 18:09 <DIR> d-------- c:\documents and settings\Dany\Dati applicazioni\SolSuite
2008-11-16 11:38 . 2008-11-16 11:38 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\TreeCardGames
2008-11-13 14:24 . 2008-11-13 14:24 <DIR> d-------- c:\programmi\File comuni\Moonlight
2008-11-12 18:07 . 2008-11-12 18:07 <DIR> d-------- c:\programmi\TeamViewer3
2008-11-12 18:06 . 2008-11-12 18:06 <DIR> d-------- c:\documents and settings\Fabry\temp
2008-11-12 17:43 . 2008-11-12 17:43 <DIR> d-------- c:\documents and settings\Fabry\Dati applicazioni\TeamViewer
2008-11-12 17:02 . 2008-11-12 17:06 <DIR> d-------- c:\documents and settings\Fabry\Dati applicazioni\vlc
2008-11-12 16:28 . 2008-11-12 16:28 <DIR> d-------- c:\programmi\Microsoft Silverlight
2008-11-11 17:25 . 2008-11-11 17:25 <DIR> d-------- C:\ClonkPlanet
2008-11-11 17:25 . 2004-03-14 21:39 73,728 --a------ c:\windows\system32\GkSui18.EXE
2008-11-11 17:17 . 2008-11-11 19:20 <DIR> d-------- c:\programmi\FreeSolitaire
2008-11-11 17:17 . 2008-11-18 17:58 3,477 --a------ c:\windows\Solitaire.ini
2008-11-11 16:39 . 2008-11-11 16:39 <DIR> d-------- C:\Governor of Poker
2008-11-11 16:20 . 2008-11-11 16:20 <DIR> d-------- c:\programmi\iPod
2008-11-11 16:19 . 2008-11-11 16:20 <DIR> d-------- c:\programmi\iTunes
2008-11-11 16:19 . 2008-11-11 16:20 <DIR> d-------- c:\documents and settings\All Users\Dati applicazioni\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-11-09 22:55 . 2008-11-09 22:55 50,282 --a------ C:\001.gif
2008-11-09 14:12 . 2008-11-09 14:32 35,113,704 --a------ C:\directx_9c_redist.exe
2008-11-07 15:23 . 2008-10-02 10:07 453,152 --a------ c:\windows\system32\NVUNINST.EXE
2008-11-07 15:23 . 2008-10-07 13:33 201,157 --a------ c:\windows\system32\nvapps.nvb
2008-11-07 15:22 . 2008-11-07 15:22 <DIR> d-------- C:\NVIDIA
2008-11-07 14:41 . 2008-11-07 14:41 <DIR> d-------- c:\documents and settings\Dany\SystemRequirementsLab
2008-11-05 20:34 . 2008-11-05 20:34 <DIR> d-------- C:\Disney
2008-11-01 12:20 . 2008-11-01 12:20 <DIR> d-------- c:\programmi\Office-Web
2008-11-01 12:20 . 2007-09-27 17:19 1,191,520 --a------ c:\windows\system32\XWheel.dll
2008-11-01 12:20 . 2007-09-27 17:11 561,152 --a------ c:\windows\system32\MousePage.dll
2008-11-01 12:20 . 2008-11-23 14:35 147,040 --a------ c:\windows\system32\Hook.dll
2008-10-28 23:36 . 2008-10-28 23:36 823,296 --a------ c:\windows\system32\divx_xx0c.dll
2008-10-28 23:36 . 2008-10-28 23:36 823,296 --a------ c:\windows\system32\divx_xx07.dll
2008-10-28 23:35 . 2008-10-28 23:35 815,104 --a------ c:\windows\system32\divx_xx0a.dll
2008-10-28 23:35 . 2008-10-28 23:35 802,816 --a------ c:\windows\system32\divx_xx11.dll
2008-10-26 12:47 . 2008-10-26 12:47 <DIR> d-------- c:\programmi\Netlog Photo Tool

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-24 19:19 --------- d-----w c:\documents and settings\Fabry\Dati applicazioni\Skype
2008-11-23 13:53 --------- d---a-w c:\documents and settings\All Users\Dati applicazioni\TEMP
2008-11-23 11:39 --------- d-----w c:\programmi\SpywareBlaster
2008-11-23 11:35 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\Avira
2008-11-18 13:37 --------- d-----w c:\programmi\eMule
2008-11-12 19:27 --------- d-----w c:\programmi\World of Warcraft
2008-11-12 16:01 --------- d-----w c:\programmi\DivX
2008-11-12 15:59 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\HDD Thermometer
2008-11-12 15:56 --------- d-----w c:\programmi\Malwarebytes' Anti-Malware
2008-11-12 15:45 --------- d-----w c:\documents and settings\Fabry\Dati applicazioni\DivX
2008-11-01 11:20 --------- d--h--w c:\programmi\InstallShield Installation Information
2008-10-28 22:35 684,032 ----a-w c:\windows\system32\DivX.dll
2008-10-28 13:04 --------- d-----w c:\documents and settings\Fabry\Dati applicazioni\Apple Computer
2008-10-24 15:17 --------- d-----w c:\documents and settings\All Users\Dati applicazioni\WLInstaller
2008-10-24 10:19 --------- d-----w c:\programmi\Windows Media Connect 2
2008-10-23 13:00 --------- d-----w c:\documents and settings\Fabry\Dati applicazioni\Command & Conquer 3 Tiberium Wars
2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2008-10-07 19:53 --------- d-----w c:\programmi\MobMapUpdater
2008-10-04 10:42 --------- d-----w c:\programmi\MSECache
2008-09-25 08:03 81,920 ----a-w c:\windows\system32\dpl100.dll
2008-09-25 08:03 593,920 ----a-w c:\windows\system32\dpuGUI11.dll
2008-09-25 08:03 57,344 ----a-w c:\windows\system32\dpv11.dll
2008-09-25 08:03 53,248 ----a-w c:\windows\system32\dpuGUI10.dll
2008-09-25 08:03 524,288 ----a-w c:\windows\system32\DivXsm.exe
2008-09-25 08:03 344,064 ----a-w c:\windows\system32\dpus11.dll
2008-09-25 08:03 294,912 ----a-w c:\windows\system32\dpu11.dll
2008-09-25 08:03 294,912 ----a-w c:\windows\system32\dpu10.dll
2008-09-25 08:03 196,608 ----a-w c:\windows\system32\dtu100.dll
2008-09-25 08:03 161,096 ----a-w c:\windows\system32\DivXCodecVersionChecker.exe
2008-09-19 21:57 3,596,288 ----a-w c:\windows\system32\qt-dx331.dll
2008-09-19 21:55 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-09-19 21:55 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-09-19 21:54 12,288 ----a-w c:\windows\system32\DivXWMPExtType.dll
2008-08-29 08:18 87,336 ----a-w c:\windows\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w c:\windows\system32\dnssd.dll
2008-07-26 15:35 8,092,160 ----a-w c:\programmi\WoW.exe
2008-07-26 15:32 90 ----a-w c:\programmi\realmlist.wtf
2008-07-26 15:16 1,284,008 ----a-w c:\programmi\WoW-2.3.0.7561-enGB-downloader.exe
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programmi\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-10-07 13574144]
"Motive SmartBridge"="c:\progra~1\ALICET~1\SMARTB~1\MotiveSB.exe" [2006-04-21 438359]
"LASER Mouse"="c:\programmi\Office-Web\Office-Web Center\Panel.exe" [2007-09-27 667232]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-10-07 86016]
"TkBellExe"="c:\programmi\File comuni\Real\Update_OB\realsched.exe" [2008-06-30 185632]
"SoundMan"="SOUNDMAN.EXE" [2005-11-11 c:\windows\SOUNDMAN.EXE]
"SMSERIAL"="sm56hlpr.exe" [2005-09-13 c:\windows\sm56hlpr.exe]
"nwiz"="nwiz.exe" [2008-10-07 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmi\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programmi\\eMule\\emule.exe"=
"c:\\Programmi\\Infogrames\\GP4.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programmi\\Warcraft III\\Warcraft III.exe"=
"c:\\Programmi\\EA GAMES\\Need For Speed Underground\\Speed.exe"=
"c:\\Programmi\\uTorrent\\uTorrent.exe"=
"c:\\Programmi\\WoW-2.3.0.7561-enGB-downloader.exe"=
"c:\\Programmi\\World of Warcraft\\WoW-2.3.0-enUS-downloader.exe"=
"c:\\Programmi\\Metin2_Italiano\\metin2.bin"=
"c:\\Programmi\\Mozilla Firefox\\firefox.exe"=
"c:\\Programmi\\Bonjour\\mDNSResponder.exe"=
"c:\\Programmi\\iTunes\\iTunes.exe"=
"c:\\Programmi\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"6881:TCP"= 6881:TCP:Blizzard Downloader: 6881

R0 SymEFA;Symantec Extended File Attributes;\SystemRoot\\SystemRoot\System32\Drivers\NAV\1001000.021\SYMEFA.SYS []
R1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\Drivers\NAV\1001000.021\BHDrvx86.sys [2008-11-24 255536]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\Drivers\NAV\1001000.021\ccHPx86.sys [2008-11-24 362544]
R1 IDSxpx86;IDSxpx86;\??\c:\documents and settings\All Users\Dati applicazioni\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\ipsdefs\20081120.006\IDSxpx86.sys [2008-11-23 274808]
R2 Norton AntiVirus;Norton AntiVirus;"c:\programmi\Norton AntiVirus\Engine\16.1.0.33\ccSvcHst.exe" /s "Norton AntiVirus" /m "c:\programmi\Norton AntiVirus\Engine\16.1.0.33\diMaster.dll" /prefetch:1 []
S2 ioloFileInfoList;iolo FileInfoList Service;c:\programmi\iolo\common\lib\ioloServiceManager.exe []
S2 ioloSystemService;iolo System Service;c:\programmi\iolo\common\lib\ioloServiceManager.exe []
.
Contenuto della cartella 'Scheduled Tasks'

2008-09-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmi\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-11-24 c:\windows\Tasks\GoogleUpdateTaskUser.job
- c:\documents and settings\Fabry\Impostazioni locali\Dati applicazioni\Google\Update\GoogleUpdate.exe [2008-09-08 09:40]
.
- - - - ORFÃOS REMOVIDOS - - - -

ShellExecuteHooks-{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - (no file)
Notify-dimsntfy - (no file)


.
------- Supplementare di scansione -------
.
FireFox -: Profile - c:\documents and settings\Fabry\Dati applicazioni\Mozilla\Firefox\Profiles\pelznut7.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.it/
FF -: plugin - c:\documents and settings\Fabry\Impostazioni locali\Dati applicazioni\Google\Update\1.2.131.11\npGoogleOneClick5.dll
FF -: plugin - c:\programmi\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\programmi\Microsoft Silverlight\2.0.31005.0\npctrl.dll
FF -: plugin - c:\programmi\Mozilla Firefox\plugins\npbittorrent.dll
FF -: plugin - c:\programmi\Opera\program\plugins\npdivx32.dll
.
.
------- Associazioni di file -------
.
JSEFile=NOTEPAD.EXE %1
VBEFile=NOTEPAD.EXE %1
VBSFile=NOTEPAD.EXE %1
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 14:07:54
Windows 5.1.2600 Service Pack 2 NTFS

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\Norton AntiVirus]
"ImagePath"="\"c:\programmi\Norton AntiVirus\Engine\16.1.0.33\ccSvcHst.exe\" /s \"Norton AntiVirus\" /m \"c:\programmi\Norton AntiVirus\Engine\16.1.0.33\diMaster.dll\" /prefetch:1"
.
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(3404)
c:\progra~1\ALICET~1\SMARTB~1\SBHook.dll
c:\programmi\Microsoft Office\OFFICE11\msohev.dll
.
------------------------ Altri processi in esecuzione ------------------------
.
c:\programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programmi\Bonjour\mDNSResponder.exe
c:\programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programmi\Nero\Nero8\Nero BackItUp\NBService.exe
c:\programmi\Norton AntiVirus\Engine\16.1.0.33\ccSvcHst.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\IoctlSvc.exe
c:\programmi\Norton AntiVirus\Engine\16.1.0.33\ccSvcHst.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Ora fine scansione: 2008-11-25 14:11:03 - macchina è stato riavviato
ComboFix-quarantined-files.txt 2008-11-25 13:10:57

Pre-Run: 26.263.719.936 byte disponibili
Post-Run: 26,299,850,752 byte disponibili

WindowsXP-KB310994-SP2-Home-BootDisk-ITA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

222 --- E O F --- 2008-10-12 10:11:27


Grazie dell'aiuto,attendo una risposta

ste_95 ha scritto:Faccio un appunto qui, visto che non riusciamo a beccarci. Non ti sto evitando, è solo che vieni online quando non ci sono. [;)]

/OT


Ok,don't worry [^]
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Amantide » mar nov 25, 2008 2:54 pm

Scansiona su http://www.virustotal.com questi file e vedi se sono innocui (devi abilitare la visualizzazione dei file nascosti per poterli vedere):
c:\windows\Battle.ini
C:\001.gif


Scarica The Avenger, estrailo in una cartella ed avvia il file avenger.exe.
Incolla il seguente spript nello spazio bianco sotto alla voce Input script here, togli la spunta alla voce Scan for rootkits e clicca su Execute.

Codice: Seleziona tutto
Files to delete:
c:\windows\system32\GkSui18.EXE
c:\windows\system32\Hook.dll


Il pc dovrebbe riavviarsi, se così non fosse, riavvialo manualmente.
Al riavvio dovrebbe apparire il log avenger.txt, posta qui il suo contenuto.

EDIT:

Ma sei sicuro che nel processo explorer.exe è iniettato proprio hook.dll?
Il log di Combofix dice che si tratta di un altro file, anche esso a metà hook [:)]
--------------------- DLLs Carregadas Sob os Processos em Execução ---------------------

- - - - - - - > 'explorer.exe'(3404)
c:\progra~1\ALICET~1\SMARTB~1\SBHook.dll


Magari prima di eseguire avenger controlla nel registro tramite Trova se ci sono altri riferimenti al file hook.dll
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Pct » mar nov 25, 2008 4:05 pm

File battle.ini : http://www.virustotal.com/it/analisis/8 ... ae939278f0

direi pulito,secondo virustotal.

001.gif è un immagine scaricata da mia sorella [:)] : http://www.virustotal.com/it/analisis/c ... 5896471de6

pulito anch'esso.

Spyware Doctor Con Antivirus mi aveva segnalato 7 rimozioni del file hook.dll : una con il file vero e proprio e le altre con scritti altri 6 file attivi in memoria, per esempio c'era scritto (di questo sono sicuro;purtroppo non ho salvato i log di Spyware Doctor perché pensavo fosse solo un suo falso positivo e perciò non li ho considerati importanti) : explorer.exe(hook.dll). oltre a Explorer.exe c'erano altri 6 processi, tutti con la scritta (hook.dll) vicino.

Buh [:)] .

Sta sera procedo con Avenger: adesso devo andare via di casa. Grazie mille per l'aiuto,a sta sera!
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Pct » mar nov 25, 2008 7:53 pm

Ecco il log di Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File "c:\windows\system32\GkSui18.EXE" deleted successfully.
File "c:\windows\system32\Hook.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Ho un piccolo problemino: quando si è avviato windows si è aperta una piccola finestrella con scritto: ''Load dll. Load hook failed!'' .

Cosa devo fare? Grazie ancora per l'aiuto Amantide, sei molto gentile! [^]
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Amantide » mar nov 25, 2008 8:11 pm

Sicuramente è rimasto qualche valore nel registro.
Fai la ricerca di hook.dll nel regedit e vedi cosa ti trova.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Pct » mar nov 25, 2008 8:47 pm

I risultati sono abbastanza numerosi. ho fatto un immagine di quello che ho trovato nel registro cercando :''hook.dll'' : http://www.mediafire.com/?sharekey=20f1 ... b9a8902bda

Che dici?
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Amantide » mar nov 25, 2008 9:50 pm

I valori nella chiave OpenSaveMRU non sono rilevanti.
Il file hook.dll appare solo in quella posizione?

Postami anche il nuovo log di Hijackthis.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Pct » mer nov 26, 2008 3:25 pm

Ecco hijakcthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:11, on 2008-11-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
C:\Programmi\Office-Web\Office-Web Center\Panel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\Norton AntiVirus\Engine\16.1.0.33\ccSvcHst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Norton AntiVirus\Engine\16.1.0.33\ccSvcHst.exe
C:\Programmi\Java\jre1.6.0_07\bin\jucheck.exe
C:\Programmi\Mozilla Firefox\fire1.exe
C:\Programmi\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\Fabry\Desktop\Icone\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1040
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programmi\Norton AntiVirus\Engine\16.1.0.33\IPSBHO.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Motive SmartBridge] C:\PROGRA~1\ALICET~1\SMARTB~1\MotiveSB.exe
O4 - HKLM\..\Run: [LASER Mouse] "C:\Programmi\Office-Web\Office-Web Center\Panel.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programmi\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/ ... .6.108.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/re ... NPUpld.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-U ... E_UNO1.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resour ... se5036.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://wcucciol8eith.spaces.live.com/Ph ... nPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D8B2905-22CF-488E-BA57-4218E0FA654D}: NameServer = 85.37.17.8 85.38.28.73
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: iolo FileInfoList Service (ioloFileInfoList) - Unknown owner - C:\Programmi\iolo\common\lib\ioloServiceManager.exe (file missing)
O23 - Service: iolo System Service (ioloSystemService) - Unknown owner - C:\Programmi\iolo\common\lib\ioloServiceManager.exe (file missing)
O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Programmi\Norton AntiVirus\Engine\16.1.0.33\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 6766 bytes



I valori appaiono anche qua:
Nome: (predefinito) Tipo: REG_SZ Dati: valore non impostato
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Amantide » mer nov 26, 2008 4:13 pm

Pct ha scritto:I valori appaiono anche qua:
Nome: (predefinito) Tipo: REG_SZ Dati: valore non impostato

Mi servirebbe il percorso completo per capire dove si trova e di cosa si tratta.
Se clicchi con il tasto destro sulla chiave interessata puoi salvare il percorso cliccando sulla voce Copia nome chiave.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Pct » gio nov 27, 2008 2:35 pm

Penso sia questa : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F73DFB51F50FAFC429BE524DE8E8F5A3 .
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Amantide » gio nov 27, 2008 4:14 pm

Pensi o sei sicuro?
Clicca sulla chiave indicata con il tasto destro e scegli Esporta. In Salva come seleziona File di testo e salva il file su desktop.
Posta qui il contenuto di questo file .txt
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Pct » gio nov 27, 2008 8:50 pm

Il fatto è che nella chiave indicata, se clicco con il destro ho solo le opzioni: ''modifica ; modifica dati binari ; elimina'' . Non avevo nemmeno l'opzione : ''Copia nome chiave''. Ho dovuto cercare manulamente il percorso della chiave e quindi dargli il comando ''Copia nome chiave''. é quello che ho postato nel forum.
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Amantide » gio nov 27, 2008 9:09 pm

Devi cliccare con il tasto destro ed esportare questa chiave indicata in blu

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F73DFB51F50FAFC429BE524DE8E8F5A3
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Pct » gio nov 27, 2008 10:18 pm

Ecco qua :

Nome chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F73DFB51F50FAFC429BE524DE8E8F5A3
Nome classe: <NESSUNA CLASSE>
Ora ultima scrittura: 2008-09-12 - 20:45
Valore 0
Nome 50D24CD8B0860B148887C6412D6420BD
Tipo REG_SZ
Dati C:\Programmi\QuickTime\QTSystem\QuickTimeStreaming.Resources\de.lproj\QuickTimeStreamingLocalized.qtr


Non sembra che sia quella, è di quicktime,giusto? [uhm]

In ogni caso, ti ringrazio ancora per la pazienza e la gentilezza con cui mi stai aiutando!
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Amantide » gio nov 27, 2008 11:44 pm

Pct ha scritto:
Non sembra che sia quella, è di quicktime,giusto? [uhm]

Si, è di quicktime e non c'entra nulla con hook.dll

Pct ha scritto:In ogni caso, ti ringrazio ancora per la pazienza e la gentilezza con cui mi stai aiutando!



Qui sul forum mi alleno ad essere paziente [fischio] , nella vita reale non sono altretanto tollerante [devil]
Una specie di autoterapia [:D]
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Pct » ven nov 28, 2008 2:16 pm

Amantide ha scritto:
Pct ha scritto:
Non sembra che sia quella, è di quicktime,giusto? [uhm]

Si, è di quicktime e non c'entra nulla con hook.dll

Pct ha scritto:In ogni caso, ti ringrazio ancora per la pazienza e la gentilezza con cui mi stai aiutando!



Qui sul forum mi alleno ad essere paziente [fischio] , nella vita reale non sono altretanto tollerante [devil]
Una specie di autoterapia [:D]


Spero che la terapia funzioni anche per la vita reale [devil] .Anche io non sono poi così paziente nella vita reale [sh] . Allora sono contento di farmi aiutare via forum e non faccia a faccia, perché con me ce ne vuole di pazienza [bleh] !

Comunque grazie mille dell'aiuto: per il messaggio ''Load hook failed'' non importa,alla fine non è un problema, tanto si può chiudere subito e in fin dei conti non da nessun problema [:)]
È più facile spezzare un atomo che un pregiudizio - Albert Einstein
Avatar utente
Pct
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 1933
Iscritto il: dom set 09, 2007 4:38 pm

Re: hook.dll. Probabile Trojan!Help!

Messaggioda Amantide » ven nov 28, 2008 2:55 pm

Pct ha scritto:Comunque grazie mille dell'aiuto: per il messaggio ''Load hook failed'' non importa,alla fine non è un problema, tanto si può chiudere subito e in fin dei conti non da nessun problema [:)]

Prima di arrendersi completamente prova a rifare la ricerca nel registro ma questa volta inserisci solo HOOK come la chiave di ricerca. Se trovi qualche cosa, esporta come prima nel formato TXT la chiave sospetta e posta qui il contenuto.
...per volare alto, bisogna saper cadere...
Avatar utente
Amantide
Membro Ufficiale (Gold)
Membro Ufficiale (Gold)
 
Messaggi: 8126
Iscritto il: lun feb 06, 2006 4:13 pm
Località: Abruzzo

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising