Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

rimozione dialer - sto provando hijackthis

Hai problemi con i file Zip, vuoi formattare l'HD, non sai come funziona FireFox? O magari ti serve proprio quel programmino di cui non ricordi il nome! Ecco il forum dove poter risolvere i tuoi problemi.

Moderatori: Dylan666, hydra, gahan

rimozione dialer - sto provando hijackthis

Postdi bonna1 » 04/03/05 16:28

salve a tutti.
non ho capito bene se il forum piu corretto è questo o secuity...

cmq ho un problema con un dialer/spyware particolarmente rognoso: tutti i files che vengono cancellati (e quindi vanno nel cestino) spariscono da questo nel giro di pochi secondi. l'icona del cestino è qualla di quando c'è qualcosa dentro

ho provato con ad-aware: rimossi piu di 250 oggetti ma ne rimangono 9 che si ripresentano
con spybot stessa cosa.

con /hijackthis mi da questo report:
Logfile of HijackThis v1.99.1
Scan saved at 16.18.33, on 04/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: sub.bat
O8 - Extra context menu item: Apri immagine in &Microsoft PhotoDraw - res://C:\PROGRA~1\MICROS~2\Office\1040\phdintl.dll/phdContext.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe



dal sito http://hijackthis.de/index.php#anl mi sembra non ci sia niente di strano!

il problema è che nel cestino sono finiti documenti parecchio importanti!

c'è qualcuno che mi sa aiutare???

grazie a tutti!!!!
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)

Sponsor
 

Postdi bonna1 » 04/03/05 16:33

queste sono le chiavi che mi si ripresentano ad ogni scansione con ad-aware

Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Possible Browser Hijack attempt Object Recognized!
Type : Regkey
Data : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch "http://www.whenusearch.com/about.html?ui=sb.min.bb"
Category : Data Miner
Comment : (http://www.whenusearch.com/about.html?ui=sb.min.bb)
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch

Possible Browser Hijack attempt Object Recognized!
Type : RegValue
Data : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch "http://www.whenusearch.com/about.html?ui=sb.min.bb"
Category : Data Miner
Comment : (http://www.whenusearch.com/about.html?ui=sb.min.bb)
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch
Value : DisplayName

Possible Browser Hijack attempt Object Recognized!
Type : RegValue
Data : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch "http://www.whenusearch.com/about.html?ui=sb.min.bb"
Category : Data Miner
Comment : (http://www.whenusearch.com/about.html?ui=sb.min.bb)
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch
Value : DisplayIcon

Possible Browser Hijack attempt Object Recognized!
Type : RegValue
Data : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch "http://www.whenusearch.com/about.html?ui=sb.min.bb"
Category : Data Miner
Comment : (http://www.whenusearch.com/about.html?ui=sb.min.bb)
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch
Value : DisplayVersion

Possible Browser Hijack attempt Object Recognized!
Type : RegValue
Data : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch "http://www.whenusearch.com/about.html?ui=sb.min.bb"
Category : Data Miner
Comment : (http://www.whenusearch.com/about.html?ui=sb.min.bb)
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch
Value : HelpLink

Possible Browser Hijack attempt Object Recognized!
Type : RegValue
Data : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch "http://www.whenusearch.com/about.html?ui=sb.min.bb"
Category : Data Miner
Comment : (http://www.whenusearch.com/about.html?ui=sb.min.bb)
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch
Value : Publisher

Possible Browser Hijack attempt Object Recognized!
Type : RegValue
Data : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch "http://www.whenusearch.com/about.html?ui=sb.min.bb"
Category : Data Miner
Comment : (http://www.whenusearch.com/about.html?ui=sb.min.bb)
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch
Value : UrlInfoAbout

Possible Browser Hijack attempt Object Recognized!
Type : RegValue
Data : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch "http://www.whenusearch.com/about.html?ui=sb.min.bb"
Category : Data Miner
Comment : (http://www.whenusearch.com/about.html?ui=sb.min.bb)
Rootkey : HKEY_LOCAL_MACHINE
Object : Software\Microsoft\Windows\CurrentVersion\Uninstall\WhenUSearch
Value : UninstallString
<STOP>
16.29.34 Scan stopped by user

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00.00.22.719
Objects scanned:45750
Objects identified:8
Objects ignored:0
New critical objects:8
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)

Postdi Dylan666 » 04/03/05 16:41

Lo conosci?

O4 - Startup: sub.bat
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi bonna1 » 04/03/05 16:47

si è un file .bat che si trova in esecuzione automatica.
questo è il suo contenuto:
subst k: c:\


non so a cosa gli serva ma non mi sembra dannoso...
cmq adesse chiedo se qualcuno sa perche è stato creato!
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)

Postdi bonna1 » 04/03/05 16:48

bonna1 ha scritto:si è un file .bat che si trova in esecuzione automatica.
questo è il suo contenuto:
subst k: c:\


non so a cosa gli serva ma non mi sembra dannoso...
cmq adesse chiedo se qualcuno sa perche è stato creato!



non so a cosa serva nel senso che non so perche lo usano ...
cmq qeusto comando mappa un unità k: che è una copia di c:
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)

Postdi Dylan666 » 04/03/05 17:00

Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi bonna1 » 04/03/05 17:08

in effetti prima c'èera un programma in memoria che si chiamava "save"
e occupava anche 25 mega di memoria.

dopo averlo stoppato e fatto un po di pulizia nn compare piu....
ho anche controllato la chiave di registro indicata sulla facina che mi hai detto ed è pulita.

ma il problema sul cestino rimane.
altre idee??

ps ho appena finito di controllare su google i processi attivi e non c'è nulla di anomalo!
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)

Postdi Dylan666 » 04/03/05 17:15

ma hai letto il secondo link?
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi bonna1 » 04/03/05 17:18

Dylan666 ha scritto:ma hai letto il secondo link?


si sono le operazioni di pulizia che ho eseguito arrivano da li!
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)

Postdi bonna1 » 04/03/05 17:20

ferma tutto!

ho rimosso il programma batch dall'esecuzione autoamtica in modo da non avere un'atra unitò mappata... giusto per provare.
magia.... :oops:
i files che elimino adesso rimangono ben visibili nel cestino!


il problema adesso è sapere dove sono finiti quelli vecchi!!!!
help!!!!
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)

Postdi Dylan666 » 04/03/05 17:23

sinceramente dubito che WhenUSearch abbia a che fare col cestino.
Mi chiedo se ha controllato se hai il search.dll
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi bonna1 » 04/03/05 18:00

ho scoperto che tale mappatura (k: = copia di c:)
manda completamente nel pallone il cestino di windows che non sapendo a chi appartiene il files eliminato (k o c) pensa bene di eliminarlo....

se non sbaglio un comandamento era "non dimenticare il backup invano" :lol:

grazie a tutti specialmente a Dylan666

(x i mod: chiudete pure!!)
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)


Torna a Software Windows


Topic correlati a "rimozione dialer - sto provando hijackthis":

Analisi log HijackThis
Autore: Sanko
Forum: Sicurezza e Privacy
Risposte: 2
Pc lento e Hijackthis
Autore: Flopez
Forum: Assistenza Hardware
Risposte: 3
HijackThis
Autore: franco58
Forum: Sistemi Operativi Windows
Risposte: 0
HijackThis
Autore: rino86
Forum: Sicurezza e Privacy
Risposte: 4

Chi c’è in linea

Visitano il forum: Nessuno e 12 ospiti