Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

AIUTO URGENTE...... __p9hEPQkbj.exe salvatemi...grazie

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

AIUTO URGENTE...... __p9hEPQkbj.exe salvatemi...grazie

Postdi Fede-man » 06/02/06 11:04

salve a tutti
sono da un po di tempo alle prese con alcuni problemi sul mio pc....
il file __p9hEPQkbj.exe (sebbene l'habbia eliminato (impulsivamente forse era meglio lasciarlo) ) mi provoca disconnessioni senza motivo, mi crea collegamenti con file che si creano da soli ...e a volte mi fa aprire spiacevolmente una pagina web con contenuti poco cristiani....

per farla breve ho visto che in altre discussioni di questo forum avete aiutato gente con lo stesso problema e vi sarei grato se mi poteste seguire dato che non sono un grande esperto di pc...

se qualche buon'anima si potesse dedicare un pochetttino al mio problema le sarei infinitamente grato

se possso darvi altre informazioni utili per favore ditemi come...(non sono un mago del pc ...anzi...)

grazie
se mi togliete sto problema mi salvate la vita
Fede-man
Utente Junior
 
Post: 25
Iscritto il: 06/02/06 10:49

Sponsor
 

Postdi fabrizius » 06/02/06 11:21

ciao,non temere che ad ogni problema c'è una soluzione :D

per eliminare completamente p9hEPQkbj.exe qua trovi la procedura:http://www.pc-facile.com/forum/viewtopic.php?t=42022,

poi posta un log hijackthis
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Fede-man » 06/02/06 11:30

provero grazie

volevo solo sapere se la procedura è capibile anche da persone comuni....insomma io non so come muovermi in certe situazioni...

chiedo anche se è una procedura valida per tutti i sistemi operativi

quelo che cercavo era una guida umana...comunque vedro coso riesco a fare col tuo link....grazie di tutto....

E A CHIUNQUE ALTRO VOGLIA AIUTARMI A CAPIRE PROCEDURE STRANE PER LA SOLUZIONE DI QUESTO PROBLEMA
se mi togliete sto problema mi salvate la vita
Fede-man
Utente Junior
 
Post: 25
Iscritto il: 06/02/06 10:49

Postdi Fede-man » 06/02/06 11:32

UN ALTRA COSA...FABRY

COS'è E COME SI FA A POSTARE UN LOG HIJACK.....

SCUSATE LA MIA IGNORANZA...ancora ciao
se mi togliete sto problema mi salvate la vita
Fede-man
Utente Junior
 
Post: 25
Iscritto il: 06/02/06 10:49

Postdi fabrizius » 06/02/06 11:38

http://www.merijn.org/files/hijackthis.zip
Spiegazione
estrarre il contenuto del file zip in una cartella permanente, per esempio C:\HJT, non cartelle temporanee come Desktop oppure C:\Windows\temp.
ATTENZIONE!!! HJT crea una cartella di backup delle chiavi eliminate (fix checked) e non potrebbe farlo oppure si correrebbe il rischio di cancellazione, se installato in cartelle temporanee!!!

Come attivare HJT per ottenere il log :

1.Chiudete tutte le applicazioni aperte
2.Avviate HiJackThis don doppio click sull'eseguibile scompattato
3.Cliccate su DO A SYSTEM SCAN AND SAVE LOGFILE
4.Attendete che finisca la scansione e che si apra in automatico un foglio di blocco note scritto
5.Copiate TUTTO il contenuto all'interno del foglio appena apparso
6.Incollate il contenuto in un post nel forum
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Fede-man » 06/02/06 11:40

scusa fabrizius
come pensavo non capisco molto

penso che devo cominciare dall'ABC

dunque..potresti (tu o chiunque altro ovviamente) gentilmente aiutarmi con un po di pazienza...alcuni nomi mi risultano incomprensibili...o non so come interpretarli....quindi se volete scrivete qua
se mi togliete sto problema mi salvate la vita
Fede-man
Utente Junior
 
Post: 25
Iscritto il: 06/02/06 10:49

Postdi Fede-man » 06/02/06 11:54

CARO FABRIZIUS
ecco qua il log che serviva...io non so cosa farci
magari tu o qualcunaltro si...ciao

Logfile of HijackThis v1.99.1
Scan saved at 11.48.20, on 06/02/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\__p9hEPQkbj.exe
C:\WINNT\__P9HEPQKBJ.EXE
C:\WINNT\Explorer.exe
C:\WINNT\System32\PDesk\PDesk.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Documents and Settings\Administrator\Dati applicazioni\sgrunt\IE4321.exe
C:\Programmi\Java\j2re1.4.2_07\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\__p9hEPQkbj.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,,C:\WINNT\__p9hEPQkbj.exe,C:\WINNT\__P9HEPQKBJ.EXE
O1 - Hosts: 127.0.0.3 procounter.biz
O1 - Hosts: 127.0.0.3 http://www.procounter.biz
O1 - Hosts: 127.0.0.3 advadmin.biz
O1 - Hosts: 127.0.0.3 http://www.advadmin.biz
O1 - Hosts: 127.0.0.3 trafficbest.net
O1 - Hosts: 127.0.0.3 http://www.trafficbest.net
O1 - Hosts: 127.0.0.3 http://www.vparivalka.com
O1 - Hosts: 127.0.0.3 iframeprofit.com
O1 - Hosts: 127.0.0.3 http://www.iframeprofit.com
O1 - Hosts: 127.0.0.3 topsearch10.com
O1 - Hosts: 127.0.0.3 http://www.topsearch10.com
O1 - Hosts: 127.0.0.3 statscash.biz
O1 - Hosts: 127.0.0.3 http://www.statscash.biz
O1 - Hosts: 127.0.0.3 vxiframe.biz
O1 - Hosts: 127.0.0.3 http://www.vxiframe.biz
O1 - Hosts: 127.0.0.3 crazy-toolbar.com
O1 - Hosts: 127.0.0.3 http://www.crazy-toolbar.com
O1 - Hosts: 127.0.0.3 topcash.biz
O1 - Hosts: 127.0.0.3 http://www.topcash.biz
O1 - Hosts: 127.0.0.3 loadcash.biz
O1 - Hosts: 127.0.0.3 http://www.loadcash.biz
O1 - Hosts: 127.0.0.3 txiframe.biz
O1 - Hosts: 127.0.0.3 http://www.txiframe.biz
O1 - Hosts: 127.0.0.3 besthvac.com
O1 - Hosts: 127.0.0.3 http://www.besthvac.com
O1 - Hosts: 127.0.0.3 traff4.com
O1 - Hosts: 127.0.0.3 http://www.traff4.com
O1 - Hosts: 127.0.0.3 porn-host.org
O1 - Hosts: 127.0.0.3 http://www.porn-host.org
O1 - Hosts: 127.0.0.3 http://www.awmdabest.com127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 procounter.biz
O1 - Hosts: 127.0.0.3 http://www.procounter.biz
O1 - Hosts: 127.0.0.3 advadmin.biz
O1 - Hosts: 127.0.0.3 http://www.advadmin.biz
O1 - Hosts: 127.0.0.3 trafficbest.net
O1 - Hosts: 127.0.0.3 http://www.trafficbest.net
O1 - Hosts: 127.0.0.3 http://www.vparivalka.com
O1 - Hosts: 127.0.0.3 iframeprofit.com
O1 - Hosts: 127.0.0.3 http://www.iframeprofit.com
O1 - Hosts: 127.0.0.3 topsearch10.com
O1 - Hosts: 127.0.0.3 http://www.topsearch10.com
O1 - Hosts: 127.0.0.3 statscash.biz
O1 - Hosts: 127.0.0.3 http://www.statscash.biz
O1 - Hosts: 127.0.0.3 vxiframe.biz
O1 - Hosts: 127.0.0.3 http://www.vxiframe.biz
O1 - Hosts: 127.0.0.3 crazy-toolbar.com
O1 - Hosts: 127.0.0.3 http://www.crazy-toolbar.com
O1 - Hosts: 127.0.0.3 topcash.biz
O1 - Hosts: 127.0.0.3 http://www.topcash.biz
O1 - Hosts: 127.0.0.3 loadcash.biz
O1 - Hosts: 127.0.0.3 http://www.loadcash.biz
O1 - Hosts: 127.0.0.3 txiframe.biz
O1 - Hosts: 127.0.0.3 http://www.txiframe.biz
O1 - Hosts: 127.0.0.3 besthvac.com
O1 - Hosts: 127.0.0.3 http://www.besthvac.com
O1 - Hosts: 127.0.0.3 traff4.com
O1 - Hosts: 127.0.0.3 http://www.traff4.com
O1 - Hosts: 127.0.0.3 porn-host.org
O1 - Hosts: 127.0.0.3 http://www.porn-host.org
O1 - Hosts: 127.0.0.3 http://www.symantec.com
O1 - Hosts: 127.0.0.3 http://www.sarc.com
O1 - Hosts: 127.0.0.3 http://www.pandasoftware.com
O1 - Hosts: 127.0.0.3 symantec.com
O1 - Hosts: 127.0.0.3 pandasoftware.com
O1 - Hosts: 127.0.0.3 ad.doubleclick.net
O1 - Hosts: 127.0.0.3 ad.fastclick.net
O1 - Hosts: 127.0.0.3 ads.fastclick.net
O1 - Hosts: 127.0.0.3 ar.atwola.com
O1 - Hosts: 127.0.0.3 atdmt.com
O1 - Hosts: 127.0.0.3 awaps.net
O1 - Hosts: 127.0.0.3 banner.fastclick.net
O1 - Hosts: 127.0.0.3 banners.fastclick.net
O1 - Hosts: 127.0.0.3 click.atdmt.com
O1 - Hosts: 127.0.0.3 clicks.atdmt.com
O1 - Hosts: 127.0.0.3 engine.awaps.net
O1 - Hosts: 127.0.0.3 fastclick.net
O1 - Hosts: 127.0.0.3 media.fastclick.net
O1 - Hosts: 127.0.0.3 securityresponse.symantec.com
O1 - Hosts: 127.0.0.3 spd.atdmt.com
O1 - Hosts: 127.0.0.3 symantec.com
O1 - Hosts: 127.0.0.3 http://www.fastclick.net
O1 - Hosts: 127.0.0.3 http://www.symantec.com
O1 - Hosts: 127.0.0.3 http://www.viruslist.ru
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - E:\fede\YETISP~1\NUOVAC~1\IEBUTT~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MGA_CD_Install] F:\mgasetup.exe /No_Welcome /Lang:Italiano
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [ccApp] C:\Programmi\File comuni\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [iTunesAgent] C:\WINNT\ita.exe
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINNT\__p9hEPQkbj.exe
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\Administrator\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Internet Download Accelerator] C:\Programmi\IDA\ida.exe -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: *.3
O15 - Trusted Zone: http://www.linkautomatici.com
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.sgrunt.biz
O15 - Trusted Zone: http://www.skymasters.biz
O15 - Trusted Zone: http://www.superspots.biz
O15 - Trusted Zone: http://www.xbeta69.com
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://picweb.rfi.it/wpresources/TrainG ... i586-p.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1004869.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{139CD23D-14B9-4160-A523-E411563C3224}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF771D0E-FC37-4C56-9986-A9AB10C883FD}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{E73DD85A-4ADD-400C-A360-56B2DF8DE179}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{139CD23D-14B9-4160-A523-E411563C3224}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{139CD23D-14B9-4160-A523-E411563C3224}: NameServer = 192.168.2.1
O20 - Winlogon Notify: debugg - C:\WINNT\SYSTEM32\debugg.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe

ADESSO ATTENDO RISPOSTE DATO CHE NON SO COME PROCEDERE
se mi togliete sto problema mi salvate la vita
Fede-man
Utente Junior
 
Post: 25
Iscritto il: 06/02/06 10:49

Postdi fabrizius » 06/02/06 11:56

dunque..potresti (tu o chiunque altro ovviamente) gentilmente aiutarmi con un po di pazienza...alcuni nomi mi risultano incomprensibili...o non so come interpretarli....quindi se volete scrivete qua


di che nomi parli?ecco un'altra guida per Hijackthis...una volta fatto il log incollalo qui per controllarlo

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/idocid/20020906143424924?OpenDocument&ExpandSection=3%2C2%2C1#_Section3
fabrizius
Utente Senior
 
Post: 1220
Iscritto il: 20/05/05 13:55

Postdi Fede-man » 06/02/06 12:17

il log l'ho gia postato nel mio precedente messaggio...
adesso mi affido a voi menti suprme del pc facile

aspetto risposta...grazie
se mi togliete sto problema mi salvate la vita
Fede-man
Utente Junior
 
Post: 25
Iscritto il: 06/02/06 10:49

Postdi Dylan666 » 06/02/06 12:36

  1. Accendi il PC e prima della prima schermata di Windows premi F8
  2. Scegli la modalità provvisoria
  3. Avvii HijackThis e premi il secondo bottone dall'alto della prima schermata
  4. Clicci nel quadratino vicino a queste voci e permi "Fix"

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\__p9hEPQkbj.exe

    F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,,C:\WINNT\__p9hEPQkbj.exe,C:\WINNT\__P9H EPQKBJ.EXE

    O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)

    O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1004869.exe

    O20 - Winlogon Notify: debugg - C:\WINNT\SYSTEM32\debugg.dll


    Fai lo stesso pure con tutte le voci che iniziano con O1 - Hosts: e O15 - Trusted Zone
  5. Riavvia il PC e rifai un nuovo log
  6. Trascrivilo sul forum


NB: salva questa pagina con le istruzioni perché mentre sarai in modalità provvisoria non potrai navigare
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 06/02/06 12:46

Ciao vediamo un pò:
scarica CWshredder da qui http://www.trendmicro.com/ftp/products/ ... redder.exe
e mettilo in una cartella permanente (non temp...)
riavvia il computer in modalità provvisoria
(premi ripetutamente il tasto F8 dopo l'avvio del Bios, prima che parta Windows e poi scegli Modalità Provvisoria spostandoti con le freccette, clicchi OK)
Apri il task manager (Alt+Ctrl+Canc), sulla finestra che si apre cerchi i processi e, se ci sono, li evidenzi e clicchi termina processo
C:\WINNT\__p9hEPQkbj.exe
C:\WINNT\__P9HEPQKBJ.EXE
IE4321.exe
fai girare CWShredder, premi fix ( e non scan only)e attendi la conclusione dell'elaborazione.
Apri hiajckthis, sulla finestra pemi " do a system scan only", cerchi e metti il segno di spunta alle seguenti voci:
C:\WINNT\__p9hEPQkbj.exe
C:\WINNT\__P9HEPQKBJ.EXE
C:\Documents and Settings\Administrator\Dati applicazioni\sgrunt\IE4321.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\__p9hEPQkbj.exe
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,,C:\WINNT\__p9hEPQkbj.exe,C:\WINNT\__P9HEPQKBJ.EXE
Tutte le voci 01
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINNT\__p9hEPQkbj.exe
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\Administrator\Dati applicazioni\sgrunt\IE4321.exe
Tutte le voci 015
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1004869.exe
premi "fix checked"
Avvia esplora risorse e imposta la visualizzazione completa dei file e cartelle in questo modo:
Seleziona strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click Ok
cerca e cancella i seguenti files:
C:\WINNT\__p9hEPQkbj.exe
C:\Documents and Settings\Administrator\Dati applicazioni\sgrunt\IE4321.exe<--- tutta la cartella
Cancella tutti i fle temporanei di windows (temp e tmp, così start>cerca>tutti i file e cartelle, copi e incolli *.temp;*.tmp ed elimini tutti i file trovati, cancella i file temporanei di IE (pannello di controllo>opzioni internet> su generale cancelli cronologia, elimine file i temporanei anche non in linea, cookies), svuota il cestino. Da pannello di controllo, installazioni\applicazioni, cancella tutti i programmi non installati da te. Posta un nuovo log di hijakthis per controllo.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 06/02/06 12:53

Mi sono sovrapposto con Dylan, ( meno male, mi era sfuggita la voce 020)in effetti fissa con hijackthis anche la voce
O20 - Winlogon Notify: debugg - C:\WINNT\SYSTEM32\debugg.dll
Poi cerchi ed elimini, se c'è, anche il file
C:\WINNT\SYSTEM32\debugg.dll
Effettivamente stampa le istruzioni prima di procedere. Ciao
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Fede-man » 06/02/06 13:00

ho seguito perfettamente le istruzioni di dylan...
ed ecco qui il nuovo log (ah prima ditemi se devo seguire anche quelle di luke)

ECCO IL LOG

Logfile of HijackThis v1.99.1
Scan saved at 12.53.23, on 06/02/2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\Executive Software\Diskeeper\DkService.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\mgabg.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\__P9HEPQKBJ.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\__P9HEPQKBJ.EXE
C:\WINNT\System32\PDesk\PDesk.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Documents and Settings\Administrator\Dati applicazioni\sgrunt\IE4321.exe
C:\Programmi\Java\j2re1.4.2_07\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,,C:\WINNT\__P9HEPQKBJ.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - E:\fede\YETISP~1\NUOVAC~1\IEBUTT~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1040,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.4000.1001\it\msntb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MGA_CD_Install] F:\mgasetup.exe /No_Welcome /Lang:Italiano
O4 - HKLM\..\Run: [Matrox Powerdesk] C:\WINNT\System32\PDesk\PDesk.exe /Autolaunch
O4 - HKLM\..\Run: [ccApp] C:\Programmi\File comuni\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [iTunesAgent] C:\WINNT\ita.exe
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINNT\__p9hEPQkbj.exe
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\Administrator\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Internet Download Accelerator] C:\Programmi\IDA\ida.exe -autorun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: DSLMON.lnk = C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://www.sgrunt.biz
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://picweb.rfi.it/wpresources/TrainG ... i586-p.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{139CD23D-14B9-4160-A523-E411563C3224}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF771D0E-FC37-4C56-9986-A9AB10C883FD}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{E73DD85A-4ADD-400C-A360-56B2DF8DE179}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{139CD23D-14B9-4160-A523-E411563C3224}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{139CD23D-14B9-4160-A523-E411563C3224}: NameServer = 192.168.2.1
O20 - Winlogon Notify: debugg - C:\WINNT\SYSTEM32\debugg.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\System32\mgabg.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programmi\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe
se mi togliete sto problema mi salvate la vita
Fede-man
Utente Junior
 
Post: 25
Iscritto il: 06/02/06 10:49

Postdi Fede-man » 06/02/06 13:04

vorrei farvi presente il fatto che quando mi uscivano questi problemi la pagina iniziale di explorere e di firefox cambiava da google ad auto:blank

tra le voci che non mi avete detto di cancellare ce ne sono alcune che terminano con auto:blank

volevo sapere cosa devo farne

il log del dopo procedimento by dylan è qui sopra
se mi togliete sto problema mi salvate la vita
Fede-man
Utente Junior
 
Post: 25
Iscritto il: 06/02/06 10:49

Postdi Dylan666 » 06/02/06 13:09

Dunque:

  1. Premi Ctrl+Alt+Canc e termina questi processi:

    __p9hEPQkbj.exe

    IE4321.exe

  2. Una volta fatto ciò ri-apri HijackThis e col procedimento di prima leva queste voci:

    F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,,C:\WINNT\__P9HEPQKBJ.EXE

    O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINNT\__p9hEPQkbj.exe

    O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\Administrator\Dati applicazioni\sgrunt\IE4321.exe

    O15 - Trusted Zone: http://www.sgrunt.biz

    O20 - Winlogon Notify: debugg - C:\WINNT\SYSTEM32\debugg.dll
  3. Vai su Start > Esegui e scrivi REGEDIT
  4. Cerca la voce debugg.dll e cancella la relativa chiave
  5. Resetta, vai in modalità provvisoria e cerca e cancella i due EXE e la DLL
  6. Posta un nuovo log
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 06/02/06 13:18

Ciao, per comodità te le riepilogo:
scarica CWshredder da qui http://www.trendmicro.com/ftp/products/ ... redder.exe
e mettilo in una cartella permanente (non temp...)
Scarica kill sgrunt da qui:
http://www.francydelorenzi.it/ e mettilo nel desktop
riavvia il computer in modalità provvisoria
(premi ripetutamente il tasto F8 dopo l'avvio del Bios, prima che parta Windows e poi scegli Modalità Provvisoria spostandoti con le freccette, clicchi OK)
Apri il task manager (Alt+Ctrl+Canc), sulla finestra che si apre cerchi i processi e, se ci sono, li evidenzi e clicchi termina processo
C:\WINNT\__p9hEPQkbj.exe
C:\WINNT\__P9HEPQKBJ.EXE
IE4321.exe
fai girare CWShredder, premi fix ( e non scan only)e attendi la conclusione dell'elaborazione.
fai girare killsgrunt
Apri hiajckthis, sulla finestra premi " do a system scan only", cerchi e metti il segno di spunta alle seguenti voci, se ci sono tutte:
C:\WINNT\__p9hEPQkbj.exe
C:\WINNT\__P9HEPQKBJ.EXE
C:\Documents and Settings\Administrator\Dati applicazioni\sgrunt\IE4321.exe
F2 - REG:system.ini: UserInit=C:\WINNT\SYSTEM32\Userinit.exe,,C:\WINNT\__P9HEPQKBJ.EXE
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINNT\__p9hEPQkbj.exe
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\Administrator\Dati applicazioni\sgrunt\IE4321.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://www.sgrunt.biz
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1004869.exe
O20 - Winlogon Notify: debugg - C:\WINNT\SYSTEM32\debugg.dll
premi "fix checked"
Avvia esplora risorse e imposta la visualizzazione completa dei file e cartelle in questo modo:
Seleziona strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click Ok
cerca e cancella i seguenti files:
C:\WINNT\__p9hEPQkbj.exe
C:\Documents and Settings\Administrator\Dati applicazioni\sgrunt\IE4321.exe<--- tutta la cartella
C:\WINNT\SYSTEM32\debugg.dll
Cancella tutti i fle temporanei di windows (temp e tmp, così start>cerca>tutti i file e cartelle, copi e incolli *.temp;*.tmp ed elimini tutti i file trovati, cancella i file temporanei di IE (pannello di controllo>opzioni internet> su generale cancelli cronologia, elimine file i temporanei anche non in linea, cookies), svuota il cestino. Da pannello di controllo, installazioni\applicazioni, cancella tutti i programmi non installati da te. Posta un nuovo log di hijakthis per controllo.sono il diretto interessato
;) Poi segui le istruzioni indicate nel post precedente ( compreso il download di Cwshredder).
Fai girare CWshredder premendo fix;
fai girare killsgrunt
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 06/02/06 13:22

Stavolta, con dylan, abbiamo detto quasi le stesse cose ;)
Il mio post precedente consideralo fino alla faccina. L'ho inviato prima di correggerlo e qui i messaggi non si modificano. Adesso comunque me ne vado prima di sovrappormi nuovamente con Dylan :D
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Fede-man » 06/02/06 13:27

datemi un attimo di fiato...

ctrl+alt+canc
elimino i processi che mi ha detto dylan
ma __p9hEPQkbj.exe (quando dico di terminarlo) non scompare ma cambia posizione nella lista dei processi

helppppppppp
se mi togliete sto problema mi salvate la vita
Fede-man
Utente Junior
 
Post: 25
Iscritto il: 06/02/06 10:49

Postdi Dylan666 » 06/02/06 13:40

Posso solo dire: prova da modalità provvisoria. In teoria da lì non dovrebbe proprio partire... se parte devi essere veloce e terminare tutti i processi malevoli velocemente. Magari prova col terminare prima l'altro
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Postdi Fede-man » 06/02/06 14:21

dei tuoi consigli...allora:
punto 1 eseguito per meta perchè sono riuscito a terminare solo IE4321.exe el'altro mi faceva il problema che ti ho detto prima....

Punto 2 eseguito totalmente

punto 3 dei file trovati non riuscivo a capire quali eliminare perche non so cosa è una chiave

il PROBLEMA quindi è che eseguendo il punto 1 per metà penso si comprometta tutto il resto, inoltre ho bisogno di chiarimenti per quanto riguarda il punto 4 e 5.
grazie...
se mi togliete sto problema mi salvate la vita
Fede-man
Utente Junior
 
Post: 25
Iscritto il: 06/02/06 10:49

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "AIUTO URGENTE...... __p9hEPQkbj.exe salvatemi...grazie":

Aiuto urgente!!!
Autore: templare77
Forum: Software Windows
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 11 ospiti