Punto informatico Network
Login Esegui login | Non sei registrato? Iscriviti ora (è gratuito!)
Username: Password:
  • Annuncio Pubblicitario

hijackthis: che fare?

Un virus si è intromesso nel tuo computer? Vuoi navigare in tutta sicurezza? Sono sicure le transazione online? Come impedire a malintenzionati di intromettersi nel tuo pc? Come proteggere i tuoi dati? Qui trovi le risposte a queste ed altre domande

hijackthis: che fare?

Messaggioda thebigheat » mer ago 04, 2004 1:07 am

un altro caso disperato. non diverso da altri, immagino, il che non mi consola. c'è questo spyware o come si chiama che mi impone una pagina iniziale di explorer che non ho scelto io. poco male (insomma...), se non fosse che la navigazione è comunque rallentata e poco stabile. io non ci capisco granché, ma voi mi sembrate dei cervelli ben attrezzati. aiutatemi, vi prego. qua sotto, lo scan di hijackthis. sono tutti quegli R0, R1, che proprio non vanno. quell'url - hercs.dll eccetera - mi compare sulla pagina iniziale.
grazie fin da ora. gianluca

Logfile of HijackThis v1.98.0
Scan saved at 19.43.46, on 03/08/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMMSTASK.EXE
C:PROGRAMMIFILE COMUNISYMANTEC SHAREDCCEVTMGR.EXE
C:WINDOWSSYSTEMMDM.EXE
C:WINDOWSEXPLORER.EXE
C:WINDOWSIEEN.EXE
C:WINDOWSAPPJP.EXE
C:WINDOWSSYSTEMNTLT.EXE
C:WINDOWSSYSTEMRESTORESTMGR.EXE
C:WINDOWSMFCFI.EXE
C:WINDOWSSYSTEMADDSN.EXE
C:WINDOWSSYSTEMJAVADB.EXE
C:WINDOWSMFCFN.EXE
C:WINDOWSSYSTEMADDWI32.EXE
C:WINDOWSSYSTEMSDKZS.EXE
C:WINDOWSSYSTEMJAVADB.EXE
C:WINDOWSSYSTEMSYSTRAY.EXE
C:PROGRAMMIFILE COMUNISYMANTEC SHAREDCCAPP.EXE
C:WINDOWSSYSTEMWMIEXE.EXE
C:PROGRAMMIDIRECTCDDIRECTCD.EXE
C:WINDOWSSYSTEMGSICON.EXE
C:WINDOWSSYSTEMDSLAGENT.EXE
C:PROGRAMMIDAPDAP.EXE
C:PROGRAMMIFILE COMUNIREALUPDATE_OBREALSCHED.EXE
C:PROGRAMMITRUST250S SERIESLWBWHEEL.EXE
C:PROGRAMMISYMANTECLIVEUPDATEALUNOTIFY.EXE
C:PROGRAMMIWINZIPWZQKPICK.EXE
C:WINDOWSSYSTEMADDWI32.EXE
C:PROGRAMMIINTERNET EXPLORERIEXPLORE.EXE
C:WINDOWSSYSTEMNTLT.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:WINDOWSSYSTEMNTLT.EXE
C:WINDOWSSYSTEMJAVADB.EXE
C:WINDOWSSYSTEMAPPEQ.EXE
C:WINDOWSSYSTEMNTTD32.EXE
C:WINDOWSAPPJP.EXE
C:PROGRAMMIWINZIPWINZIP32.EXE
C:WINDOWSTEMPHIJACKTHIS.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWShercs.dll/sp.html#96676
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://hercs.dll/index.html#96676
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = res://hercs.dll/index.html#96676
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWShercs.dll/sp.html#96676
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWShercs.dll/sp.html#96676
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res://hercs.dll/index.html#96676
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:ProgrammiNorton AntiVirusNavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:PROGRAMMIADOBEACROBAT 5.0READERACTIVEXACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:programmigooglegoogletoolbar1.dll
O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - C:WINDOWSSYSTEMTIUIS.DLL (file missing)
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:WINDOWSMSOPT.DLL (file missing)
O2 - BHO: Class - {7CDA428B-E678-4696-262A-B07C9ECE7D9C} - C:WINDOWSATLBV32.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:ProgrammiNorton AntiVirusNavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSYSTEMMSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:programmigooglegoogletoolbar1.dll
O4 - HKLM..Run: [PCHealth] C:WINDOWSPCHealthSupportPCHSchd.exe -s
O4 - HKLM..Run: [SystemTray] SysTray.Exe
O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..Run: [ccApp] "C:ProgrammiFile comuniSymantec SharedccApp.exe"
O4 - HKLM..Run: [ccRegVfy] "C:ProgrammiFile comuniSymantec SharedccRegVfy.exe"
O4 - HKLM..Run: [Adaptec DirectCD] C:ProgrammiDirectCDDIRECTCD.EXE
O4 - HKLM..Run: [GSICONEXE] GSICON.EXE
O4 - HKLM..Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM..Run: [DownloadAccelerator] C:PROGRA~1DAPDAP.EXE /STARTUP
O4 - HKLM..Run: [TkBellExe] "C:ProgrammiFile comuniRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [LWBMOUSE] C:ProgrammiTrust250S Serieslwbwheel.exe
O4 - HKLM..Run: [MFCFN.EXE] C:WINDOWSMFCFN.EXE
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM..RunServices: [*StateMgr] C:WINDOWSSystemRestoreStateMgr.exe
O4 - HKLM..RunServices: [ccEvtMgr] "C:ProgrammiFile comuniSymantec SharedccEvtMgr.exe"
O4 - HKLM..RunServices: [ScriptBlocking] "C:ProgrammiFile comuniSymantec SharedScript BlockingSBServ.exe" -reg
O4 - HKLM..RunServices: [Machine Debug Manager] C:WINDOWSSYSTEMMDM.EXE
O4 - HKLM..RunServices: [IEEN.EXE] C:WINDOWSIEEN.EXE
O4 - HKLM..RunServices: [APPJP.EXE] C:WINDOWSAPPJP.EXE
O4 - HKLM..RunServices: [MFCFI.EXE] C:WINDOWSMFCFI.EXE
O4 - HKLM..RunServices: [NTLT.EXE] C:WINDOWSSYSTEMNTLT.EXE
O4 - HKLM..RunServices: [ADDSN.EXE] C:WINDOWSSYSTEMADDSN.EXE
O4 - HKLM..RunServices: [JAVADB.EXE] C:WINDOWSSYSTEMJAVADB.EXE
O4 - HKLM..RunServices: [ADDWI32.EXE] C:WINDOWSSYSTEMADDWI32.EXE
O4 - HKLM..RunServices: [SDKZS.EXE] C:WINDOWSSYSTEMSDKZS.EXE
O4 - HKLM..RunServices: [APPEQ.EXE] C:WINDOWSSYSTEMAPPEQ.EXE
O4 - HKLM..RunServices: [NTTD32.EXE] C:WINDOWSSYSTEMNTTD32.EXE
O4 - HKCU..Run: [ALUAlert] C:ProgrammiSymantecLiveUpdateALUNotify.exe
O4 - Startup: WinZip Quick Pick.lnk = C:ProgrammiWinZipWZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = C:ProgrammiMicrosoft OfficeOfficeOSA9.EXE
O8 - Extra context menu item: &Download with &DAP - C:PROGRA~1DAPdapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:PROGRA~1DAPdapextie2.htm
O8 - Extra context menu item: &Google Search - res://C:PROGRAMMIGOOGLEGOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:PROGRAMMIGOOGLEGOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:PROGRAMMIGOOGLEGOOGLETOOLBAR1.D ... milar.html
O8 - Extra context menu item: Backward &Links - res://C:PROGRAMMIGOOGLEGOOGLETOOLBAR1.D ... links.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb elated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWSweb elated.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:PROGRA~1MESSEN~1MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:PROGRA~1MESSEN~1MSMSGS.EXE
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:PROGRA~1DAPDAP.EXE
O12 - Plugin for .pdf: C:PROGRA~1INTERN~1PLUGINS
ppdf32.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/19fd9f6f520 ... 601_it.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:WINDOWSMSOPT.DLL
O21 - SSODL: AUHook - {BCBCD383-3E06-11D3-91A9-00C04F68105C} - C:WINDOWSSYSTEMAUHOOK.DLL
Avatar utente
thebigheat
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer ago 04, 2004 12:59 am
Località: Lazio

Messaggioda crazy.cat » mer ago 04, 2004 7:33 am

Intanto benvenuto nel forum,consolati non se la sola vittima di norton antivirus,hai svariati problemi e quelli che hai notato all'inizio sono forse i meno gravi.
Mi sembra che hai windows Me disabilita subito il ripristino della configurazione del sistema e riavvia il pc.

Segui le istruzioni di questo articolo, ricordati di cancellare i cookies e i file temporanei
http://www.zanezane.net/articoli.asp?id=427
un controllo e pulizia dei virus con questo è obbligatorio visto tutti gli exe strani che hai attivi in memoria
http://www.zanezane.net/articoli.asp?id=187

queste sono le voci da eliminare con hijackthis
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWShercs.dll/sp.html#96676
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = res://hercs.dll/index.html#96676
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = res://hercs.dll/index.html#96676
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWShercs.dll/sp.html#96676
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWShercs.dll/sp.html#96676
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = res://hercs.dll/index.html#96676
O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - C:WINDOWSSYSTEMTIUIS.DLL (file missing)
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:WINDOWSMSOPT.DLL (file missing)
O4 - HKLM..Run: [TkBellExe] "C:ProgrammiFile comuniRealUpdate_OB ealsched.exe" -osboot

Questi sono i "sopsetti" che ti rallentano la navigazione
O4 - HKLM..RunServices: [IEEN.EXE] C:WINDOWSIEEN.EXE
O4 - HKLM..RunServices: [APPJP.EXE] C:WINDOWSAPPJP.EXE
O4 - HKLM..RunServices: [MFCFI.EXE] C:WINDOWSMFCFI.EXE
O4 - HKLM..RunServices: [NTLT.EXE] C:WINDOWSSYSTEMNTLT.EXE
O4 - HKLM..RunServices: [ADDSN.EXE] C:WINDOWSSYSTEMADDSN.EXE
O4 - HKLM..RunServices: [JAVADB.EXE] C:WINDOWSSYSTEMJAVADB.EXE
O4 - HKLM..RunServices: [ADDWI32.EXE] C:WINDOWSSYSTEMADDWI32.EXE
O4 - HKLM..RunServices: [SDKZS.EXE] C:WINDOWSSYSTEMSDKZS.EXE
O4 - HKLM..RunServices: [APPEQ.EXE] C:WINDOWSSYSTEMAPPEQ.EXE
O4 - HKLM..RunServices: [NTTD32.EXE] C:WINDOWSSYSTEMNTTD32.EXE

Controlla e pulisci anche con adware e spybot, alla fine rifai il controllo con hijackthis e vedi cosa è rimasto e come va il pc.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda thebigheat » mer ago 04, 2004 10:03 am

grazie. apprezzo molto la tua partecipazione al mio dolore.
ho seguito le tue istruzioni (a parte "disabilita il ripristino della configurazione". non so cosa significhi e come si faccia. sono tipo un infante che va imboccato) e in effetti con la scansione di hijack ho eliminato la seconda parte dei file che mi hai indicato. la prima, però, quella degli R1 e R0 (hrecs, eccetera) non vuole proprio saperne di cancellarla, col risultato che la pagina iniziale continua ad essere indesiderata.
che altro posso fare?

(non mi abbandonare proprio adesso...)

grazie. gianluca
Avatar utente
thebigheat
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer ago 04, 2004 12:59 am
Località: Lazio


Messaggioda crazy.cat » mer ago 04, 2004 10:41 am

Non abbandono mai nessuno non ti preoccupare e di solito alla fine riesco (quasi) sempre a vincere.
Il ripristino della configurazione, spero che X win me sia uguale ad Xp, fai tasto dx sull'icona risorse del computer e li dovresti trovare una voce Ripristino configurazione pc metti disattivata per tutti i dischi o partizioni che hai e riavvii il pc.
Hai seguito le istruzioni nell'ordine in cui te le ho date?http://www.zanezane.net/articoli.asp?id=427
e poi questo
http://www.zanezane.net/articoli.asp?id=187
poi il fix con hijackthis.
Un motivo c'era perché le ho messe in quell'ordine.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda thebigheat » mer ago 04, 2004 11:04 am

dunque, aspetta, che qua si fa complicata. "ripristino configurazione sistema" non ce l'ho sul tasto destro dell'icona che dici, ma l'ho trovato tra gli accessori del menu avvio/programmi. mi si apre una finestra che mi chiede di ripristinare la configurazione di un sistema esistente. come faccio a disattivarla? (ho win me)

delle due operazioni che mi suggerivi di fare, ho fatto la prima, rimozione di spyware con cwshredder, e mi dice che il pc è pulito.
l'altra no, troppo complicata per me. comunque, da una scansione di norton, mi dice che non ci sono virus nel sistema.

scusa se ti scasso ancora...
grazie. gianluca
Avatar utente
thebigheat
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer ago 04, 2004 12:59 am
Località: Lazio

Messaggioda crazy.cat » mer ago 04, 2004 12:06 pm

Lasciamo perdere la disattivazione del ripristino, non ho mai usato win me e quindi non potrei guidarti.
Fai almeno una scansione con questo
http://www.pandasoftware.com/activescan ... ncipal.htm
norton è il peggiore degli antivirus in circolazione, che ti dica che non hai virus e poi ci sono 6/7 exe strani attivi in memoria la dice lunga sulla sua inefficenza.
Scarica anche lo stinger.exe da questa pagina
http://vil.nai.com/vil/stinger/
e fai la scansione anche con questo.
La pulizia con adware e spybot aggiornati sei riuscito a farla?
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda thebigheat » mer ago 04, 2004 3:10 pm

dunque, ho fatto la pulizia con spybot ma soprattutto la scansione online con activescan di pandora, che mi ha rilevato 100 file infetti, riparandomene 99. quello che non mi ha riparato l'ho comunque cancellato (stava in una vecchia cartella di temporary internet files). nonostante questi aggiustamenti, quei maledetti file indicati da hijack come R0 e R1 sono ancor lì. rifaccio la scansione e li elimino, ma non appena rilancio explorer (dopo aver reinserito la pagina iniziale che voglio io) ritornano.
che dici, mi suicido?
Avatar utente
thebigheat
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer ago 04, 2004 12:59 am
Località: Lazio

Messaggioda crazy.cat » mer ago 04, 2004 3:47 pm

Per il suicidio c'è tempo al limite prima c'è un format c:

Prova a vedere se trovi queste voci per disattivare il ripristino della configurazione
Pannello di controllo-Sistema-Prestazioni-File System-Avanzate-Disattiva Ripristino Configurazione di Sistema
Disattiva tutto e riavvia il pc.
Scaricati questo e dalla modalità provvisoria lo lanci (premi F8 all'avvio e selezioni avvio in modalità provvisoria) e gli fai fare la pulizia.
http://home.arcor.de/chubby/sphjfix107.zip
Che virus ti ha trovato?
Gli exe misteriosi riconpaiono ancora?
Dopo che hai disattivato il ripristino e meglio se rifai la scansione con panda e in caso segnati i nomi dei virus che ti trova.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda thebigheat » mer ago 04, 2004 4:09 pm

sì, la faccenda del disabilitare il ripristino della configurazione l'avevo risolta (aiutato da pandora). seguirò queste tue nuove indicazioni, ma non prima di stanotte. devo lavorare un po', adesso, e la scansione di pandora è bella lunga. ti faccio sapere.
grazie ancora. gianluca
Avatar utente
thebigheat
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer ago 04, 2004 12:59 am
Località: Lazio

Messaggioda thebigheat » mer ago 04, 2004 11:29 pm

niente da fare. ho fatto tutto, ma proprio tutto quelli che mi hai suggerito, ma quei file indesiderati sono ancora nel mio pc. ho fatto le scansioni con panda (non pandora come l'avevo chiamato prima, vabbè...), spybot, stinger, hijack, cwshredder e tutti mi dicono che non ci sono virus e che tutto è a posto, nessun file infetto (quelli che mi aveva trovato panda sono stati corretti o eliminati). ho riavviato il pc in modalità provvisoria, e niente. ho disabilitato il ripristino della configurazione, e niente (a proposito: terminata la procedura, ora che faccio, la riabilito?). insomma, non solo ho questa pagina iniziale che si carica tipo in tre/quattro minuti (un'eternità. comunque, per la precisione, non si tratta di un'homepage di sito porno), e se pure la cambio dal pannello di controllo mi si reinserisce a ogni nuovo lancio di explorer, ma il sistema è davvero poco stabile. il puntatore del mouse va a singhiozzi e explorer sbarella a ogni apertura di nuova pagina.
dottore, è grave? (tipo malato terminale?)
Avatar utente
thebigheat
Neo Iscritto
Neo Iscritto
 
Messaggi: 6
Iscritto il: mer ago 04, 2004 12:59 am
Località: Lazio

Messaggioda crazy.cat » gio ago 05, 2004 7:14 am

Se non mi riesci a dare il nome del virus e non riesci a farmi la scansione dal dos con il cleanboot, ho paura che non ne usciamo più.
Facciamo un altro tentativo,scarica questo
http://download.ewido.net/setup-free.exe
appena installato lo aggiorni e poi lanci la scansione dalla modalità provvisoria e vediamo cosa esce.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda mrblondie » dom ago 22, 2004 11:18 am

crazy.cat, AIUTAMI! (se puoi, s'intende[std])
Stesso problema, hijack di nome sp.html che infetta file .dll variabili. Ho fatto ricerche in lungo e in largo, disattivato ripristino di configurazione, da modalità provvisoria (di winme) ho lanciato in seguito
Norton 2003
Avast
Adaware
Spybot S&D
Hijackthis
About:buster
Sphjfix (che dovrebbe essere proprio quello adatto al mio caso, ma mi dice che il pc non è infetto)
varie scansioni on-line

Ho eliminato con avast un paio di virus che norton non vedeva (solitamente Win32 bagent e win32 trotano)
ma la meravigliosa pagina about:blank continua a ripresentarsi all'avvio di explorer (non la faccio installare percè la blocco con Ad-watch

ma vorrei per una volta eliminare il problema!!!
Su altri forum inglesi mi hanno consigliao scansoni e ricerche con Registrar lite e winfile, ma non riesco a seguire le istruzioni.

so che se vuoi, puoi
ciao
Avatar utente
mrblondie
Aficionado
Aficionado
 
Messaggi: 28
Iscritto il: lun ago 16, 2004 10:45 am

Messaggioda crazy.cat » dom ago 22, 2004 11:35 am

X mrblondie
Mi serve il log di hijackthis, bisogna vedere come si chiama la tua dll per poterla eliminare
Non hai ancora usato questo
http://www.zanezane.net/articoli.asp?id=427
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda mrblondie » dom ago 22, 2004 11:57 am

avevo usato anche il cwshredder, ma non l'ho menzionato

ecco il mio log: quella chiave RUN windowssystema.exe mi insospettisce...

Logfile of HijackThis v1.98.2
Scan saved at 12.49.13, on 22/08/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMMSTASK.EXE
C:WINDOWSSYSTEMSSDPSRV.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:PROGRAMMIALWIL SOFTWAREAVAST4ASHSERV.EXE
C:WINDOWSEXPLORER.EXE
C:WINDOWSSYSTEMRPCSS.EXE
C:WINDOWSSYSTEMRESTORESTMGR.EXE
C:WINDOWSSYSTEMDDHELP.EXE
C:WINDOWSRUNDLL32.EXE
C:PROGRAMMIALWIL SOFTWAREAVAST4ASHMAISV.EXE
C:WINDOWSJAVALM32.EXE
C:PROGRAMMILAVASOFTAD-AWARE 6AD-WATCH.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:PROGRAMMIREGISTRAR LITERL.EXE
C:PROGRAMMIINTERNET EXPLORERIEXPLORE.EXE
C:WINDOWSSYSTEMIEED32.EXE
C:WINDOWSD3TG32.EXE
C:WINDOWSDESKTOPHIJACKTHISHIJACKTHIS.EXE

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSsystemeqpyb.dll/sp.html#29126
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSsystemeqpyb.dll/sp.html#29126
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSsystemeqpyb.dll/sp.html#29126
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSsystemeqpyb.dll/sp.html#29126
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSsystemeqpyb.dll/sp.html#29126
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSsystemeqpyb.dll/sp.html#29126
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSsystemeqpyb.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {46F6B9DE-ADD7-1BA7-6004-DD50BAA263AD} - C:WINDOWSJAVAPQ32.DLL
O4 - HKLM..Run: [PCHealth] C:WINDOWSPCHealthSupportPCHSchd.exe -s
O4 - HKLM..Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM..Run: [systray] C:WINDOWSSYSTEMA.EXE
O4 - HKLM..Run: [ashMaiSv] C:PROGRA~1ALWILS~1AVAST4ashmaisv.exe
O4 - HKLM..Run: [JAVALM32.EXE] C:WINDOWSJAVALM32.EXE
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM..RunServices: [SSDPSRV] C:WINDOWSSYSTEMssdpsrv.exe
O4 - HKLM..RunServices: [*StateMgr] C:WINDOWSSystemRestoreStateMgr.exe
O4 - HKLM..RunServices: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..RunServices: [avast!] C:ProgrammiAlwil SoftwareAvast4ashServ.exe
O4 - HKLM..RunServices: [IEED32.EXE] C:WINDOWSSYSTEMIEED32.EXE
O4 - HKLM..RunServices: [D3TG32.EXE] C:WINDOWSD3TG32.EXE
O4 - HKCU..Run: [adwatch] C:ProgrammiLavasoftAd-aware 6Ad-watch.exe
O8 - Extra context menu item: &Download with &DAP - C:PROGRA~1DAPdapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:PROGRA~1DAPdapextie2.htm
Avatar utente
mrblondie
Aficionado
Aficionado
 
Messaggi: 28
Iscritto il: lun ago 16, 2004 10:45 am

Messaggioda crazy.cat » dom ago 22, 2004 12:16 pm

Trova queste due dll eqpyb.dll JAVAPQ32.DLL,dovresti riuscire a spostarle sul desktop e rinominarle,rifai la scansione con hijackthis ed elimina le voci qui sotto (tutto dalla modalità provvisoria)

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSsystemeqpyb.dll/sp.html#29126
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSsystemeqpyb.dll/sp.html#29126
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSsystemeqpyb.dll/sp.html#29126
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSsystemeqpyb.dll/sp.html#29126
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSsystemeqpyb.dll/sp.html#29126
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSsystemeqpyb.dll/sp.html#29126
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSsystemeqpyb.dll/sp.html#29126
O2 - BHO: Class - {46F6B9DE-ADD7-1BA7-6004-DD50BAA263AD} - C:WINDOWSJAVAPQ32.DLL

Riavvia il pc ed elimini quelle 2 dll che hai rinominato prima, rifai la scansione con cwshredder e vedi se ritrova qualche cosa.

Queste 3 voci sono sconosciute, o quasi, e quindi pericolose
O4 - HKLM..Run: [systray] C:WINDOWSSYSTEMA.EXE
O4 - HKLM..RunServices: [IEED32.EXE] C:WINDOWSSYSTEMIEED32.EXE
O4 - HKLM..RunServices: [D3TG32.EXE] C:WINDOWSD3TG32.EXE
ti consiglio una bella scansione online qui, se trova virus segnati i nomi
http://www.pandasoftware.com/activescan ... ncipal.htm

Dopo tutte le scansioni,riprovi a navigare e vedi come và e fai sapere.

Di adware è uscita la nuova versione.
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda mrblondie » dom ago 22, 2004 3:36 pm

nulla da fare...

fatto tutto quello che hai detto, panda mi ha tolto un trojan downloader.pf, ma sp.html si è ributtato su un nuovo dll

........formatto?......[cry]
Avatar utente
mrblondie
Aficionado
Aficionado
 
Messaggi: 28
Iscritto il: lun ago 16, 2004 10:45 am

Messaggioda crazy.cat » dom ago 22, 2004 5:14 pm

Prova a rimandarmi il log nuovo di hijackthis facciamo un ultimo tentativo.
In spybot se passi alla modalità avanzata, in utilità, regolazioni Ie c'è la possibilità di bloccare la modifica della pagina iniziale di ie,imposti una nuova pagina iniziale e poi la blocchi.
Hai poi Immunizzato il sistema sempre con spybot?
Avatar utente
crazy.cat
MLI Hero
MLI Hero
 
Messaggi: 30959
Iscritto il: lun gen 12, 2004 1:38 pm
Località: Mestre

Messaggioda mrblondie » dom ago 22, 2004 6:06 pm

Logfile of HijackThis v1.98.2
Scan saved at 18.57.15, on 22/08/2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:WINDOWSSYSTEMKERNEL32.DLL
C:WINDOWSSYSTEMMSGSRV32.EXE
C:WINDOWSSYSTEMmmtask.tsk
C:WINDOWSSYSTEMMPREXE.EXE
C:WINDOWSSYSTEMMSTASK.EXE
C:WINDOWSSYSTEMSSDPSRV.EXE
C:WINDOWSSYSTEMSTIMON.EXE
C:PROGRAMMIALWIL SOFTWAREAVAST4ASHSERV.EXE
C:WINDOWSEXPLORER.EXE
C:WINDOWSD3TG32.EXE
C:WINDOWSMFCLI32.EXE
C:WINDOWSSYSTEMRESTORESTMGR.EXE
C:WINDOWSRUNDLL32.EXE
C:PROGRAMMIALWIL SOFTWAREAVAST4ASHMAISV.EXE
C:PROGRAMMILAVASOFTAD-AWARE 6AD-WATCH.EXE
C:WINDOWSMFCLI32.EXE
C:WINDOWSD3TG32.EXE
C:WINDOWSSYSTEMRPCSS.EXE
C:WINDOWSSYSTEMRNAAPP.EXE
C:WINDOWSSYSTEMTAPISRV.EXE
C:PROGRAMMIINTERNET EXPLORERIEXPLORE.EXE
C:WINDOWSD3TG32.EXE
C:WINDOWSSYSTEMIEMU32.EXE
C:WINDOWSDESKTOPHIJACKTHISHIJACKTHIS.EXE
C:PROGRAMMIALWIL SOFTWAREAVAST4SETUPAVAST.SETUP

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSsystemivodz.dll/sp.html#29126
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = about:blank
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = res://C:WINDOWSsystemivodz.dll/sp.html#29126
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Bar = res://C:WINDOWSsystemivodz.dll/sp.html#29126
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = res://C:WINDOWSsystemivodz.dll/sp.html#29126
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKCUSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSsystemivodz.dll/sp.html#29126
R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = res://C:WINDOWSsystemivodz.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {50CDF77F-99E1-B598-2E1F-551449ABF984} - C:WINDOWSSYSTEMNTAC.DLL
O4 - HKLM..Run: [PCHealth] C:WINDOWSPCHealthSupportPCHSchd.exe -s
O4 - HKLM..Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM..Run: [systray] C:WINDOWSSYSTEMA.EXE
O4 - HKLM..Run: [ashMaiSv] C:PROGRA~1ALWILS~1AVAST4ashmaisv.exe
O4 - HKLM..Run: [JAVALM32.EXE] C:WINDOWSJAVALM32.EXE
O4 - HKLM..RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM..RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM..RunServices: [SSDPSRV] C:WINDOWSSYSTEMssdpsrv.exe
O4 - HKLM..RunServices: [*StateMgr] C:WINDOWSSystemRestoreStateMgr.exe
O4 - HKLM..RunServices: [StillImageMonitor] C:WINDOWSSYSTEMSTIMON.EXE
O4 - HKLM..RunServices: [avast!] C:ProgrammiAlwil SoftwareAvast4ashServ.exe
O4 - HKLM..RunServices: [D3TG32.EXE] C:WINDOWSD3TG32.EXE
O4 - HKLM..RunServices: [MFCLI32.EXE] C:WINDOWSMFCLI32.EXE
O4 - HKCU..Run: [adwatch] C:ProgrammiLavasoftAd-aware 6Ad-watch.exe
O4 - HKCU..RunServices: [adwatch] C:ProgrammiLavasoftAd-aware 6Ad-watch.exe
O8 - Extra context menu item: &Download with &DAP - C:PROGRA~1DAPdapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:PROGRA~1DAPdapextie2.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
Avatar utente
mrblondie
Aficionado
Aficionado
 
Messaggi: 28
Iscritto il: lun ago 16, 2004 10:45 am

Messaggioda mrblondie » dom ago 22, 2004 6:17 pm

poi non riesco a trovare il settaggio ie in spyboot mod. avanzata...
Avatar utente
mrblondie
Aficionado
Aficionado
 
Messaggi: 28
Iscritto il: lun ago 16, 2004 10:45 am

Messaggioda mrblondie » dom ago 22, 2004 7:35 pm

zitti che forse ho risolto....
niente cose estemporanee, ho ripetuto la scansione con aboutbuster aggiornato e mi ha cancellato un sacco di robacce, poi ho installato a squared 2, un anti-malware, che me ne ha cancellata altra (tra l'altro anche il file di installazione di adaware se edition!!!)
poi con hijackthis ho dato l'ultima pulitina al registro,ho riavviato un paio di volte, ho navigato un po' e per ora adwatch non mi ha ancora segnalato nessun cambiamento verso sp.html...
speriamo bene ci risentiamo per confermare stato[^]
Avatar utente
mrblondie
Aficionado
Aficionado
 
Messaggi: 28
Iscritto il: lun ago 16, 2004 10:45 am

Prossimo

Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti

Powered by phpBB © 2002, 2005, 2007, 2008 phpBB Group
Traduzione Italiana phpBB.it

megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2008 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising