Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Non mi va più niente, AIUTO!! Posto un log...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Non mi va più niente, AIUTO!! Posto un log...

Postdi dolego » 06/08/06 11:54

Logfile of HijackThis v1.99.1
Scan saved at 12.54.26, on 06/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://find-to-you.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1987324.com?301
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {99E5202A-0E4B-BDF5-6D1A-6BC6FF0ADDC8} - C:\WINDOWS\fpswi1.dll (file missing)
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programmi\TheSearchAccelerator\UCMTSAIE.dll (file missing)
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programmi\TheSearchAccelerator\UCMTSAIE.dll (file missing)
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Aethra\ADSL EB1070 USB\CnxTrApp.dll",AppEntry -REG "Aethra\ADSL EB1070 USB"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\spoolsvc.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\testtestt.exe
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\SUPER_~1\IMPOST~1\Temp\1F2A.tmp3072.exe
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.adslconnection.name
O15 - Trusted Zone: *.aflashcounter.com
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.linkautomatici.com
O15 - Trusted Zone: http://www.otherchance.com
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O15 - Trusted Zone: http://www.softlab.name
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{97F29B78-740C-4CF6-B788-90138D032A91}: NameServer = 85.255.115.93 85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8C0B63A-9DAE-4DE0-9ADC-B1FE1FAE3538}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCBE6401-66FF-475A-B5F9-DF6EE8C79BB4}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14
O20 - Winlogon Notify: satau320 - C:\WINDOWS\SYSTEM32\satau320.dll
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi192967.exe
O23 - Service: LogRjq - Unknown owner - C:\:vMr.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
dolego
Utente Junior
 
Post: 68
Iscritto il: 03/03/06 12:06

Sponsor
 

Postdi BilloKenobi » 06/08/06 12:26

se posso permettermi una critica dovresti andarci piano con i clic... sei letteralmente infestato :!:

vai in provvisoria, diabilitando il ripristino conigurazione di sistema, e fixa

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://find-to-you.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.1987324.com?301
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programmi\TheSearchAccelerator\UCMTSAIE.dll (file missing)
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programmi\TheSearchAccelerator\UCMTSAIE.dll (file missing)
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programmi\TheSearchAccelerator\UCMTSAIE.dll (file missing)
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\system32\spoolsvc.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\testtestt.exe
O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\SUPER_~1\IMPOST~1\Temp\1F2A.tmp3072.exe
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.adslconnection.name
O15 - Trusted Zone: *.aflashcounter.com
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.linkautomatici.com
O15 - Trusted Zone: http://www.otherchance.com
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O15 - Trusted Zone: http://www.softlab.name
O20 - Winlogon Notify: satau320 - C:\WINDOWS\SYSTEM32\satau320.dll
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi192967.exe
O23 - Service: LogRjq - Unknown owner - C:\:vMr.exe

poi vi sono due voci:
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {99E5202A-0E4B-BDF5-6D1A-6BC6FF0ADDC8} - C:\WINDOWS\fpswi1.dll (file missing)

che mi fanno pensare a un nuovo virus, il LinkOptimizer. segui questa guida

poi elimina questa files

c:\secure32.html
C:\Programmi\TheSearchAccelerator\UCMTSAIE.dll
C:\WINDOWS\system32\spoolsvc.exe (fai attenzione, ve ne è uno dal nome simile, che è un processo importante di windows)
C:\WINDOWS\system32\testtestt.exe
1F2A.tmp3072.exe
C:\WINDOWS\system32\aspi192967.exe

infine scaricati Ccleaner e fai pulizia.
fatti uno scan on line con panda, bitdefender, e magari usa anche un browser diverso, Firefox

installa un firewall

abbiamo finito :) spero che tu non abbia più problemi. posta di nuovo, eventualmente
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
BilloKenobi
Utente Senior
 
Post: 348
Iscritto il: 08/07/06 11:05

Postdi Luke57 » 06/08/06 12:26

Ciao, hai una pletora di infezioni, presumo anche il link optimizer.
Per adesso scarica :
del domains da qui:
Ciao, scarica scarica DelDomains.inf da qui --> http://www.mvps.org/winhelp2002/DelDomains.inf e mettilo sul desktop.
Click con il tasto dx del mouse sul file .inf e scegli Installa

Poi scarica questo:
http://www.wininizio.it/forum/index.php ... ntry246364
fai una scansione completa.

Posta nuovo log di controllo ( le procedure dovranno continuare, presumo)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi dolego » 06/08/06 13:39

fatto tutto... credo vada un po meglio ma forse c'è ncora qualcosina da fare :-((
che disastro 'sto pc :-)
ecco il nuovo log

Logfile of HijackThis v1.99.1
Scan saved at 14.36.36, on 06/08/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Class - {99E5202A-0E4B-BDF5-6D1A-6BC6FF0ADDC8} - C:\WINDOWS\fpswi1.dll (file missing)
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\Aethra\ADSL EB1070 USB\CnxTrApp.dll",AppEntry -REG "Aethra\ADSL EB1070 USB"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8C0B63A-9DAE-4DE0-9ADC-B1FE1FAE3538}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCBE6401-66FF-475A-B5F9-DF6EE8C79BB4}: NameServer = 85.255.115.93,85.255.112.14
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.93 85.255.112.14
O20 - Winlogon Notify: satau320 - C:\WINDOWS\SYSTEM32\satau320.dll
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi192967.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
dolego
Utente Junior
 
Post: 68
Iscritto il: 03/03/06 12:06

Postdi Luke57 » 06/08/06 14:06

BilloKenobi ha scritto:se posso permettermi una critica dovresti andarci piano con i clic... sei letteralmente infestato :!:

vai in provvisoria, diabilitando il ripristino conigurazione di sistema, e fixa


che mi fanno pensare a un nuovo virus, il LinkOptimizer. segui questa guida


abbiamo finito :) spero che tu non abbia più problemi. posta di nuovo, eventualmente

Ciao Billo, mi permetto una critica costruttiva ;)
Individui nolto bene il linkotmizer, ma se consigli di disattivare in primis il ripristino configurazione di sistema, spunti immediatamente una delle armi di disinfezione per il suddetto trojan ( ripristinare il computer a uno stato precedente all'infezione, data che si può rilevare, in presenza di rootkit, facendo girare Rootkitrevelear).
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 06/08/06 14:10

@ Dolego
Ciao, devi seguire la guida nel link postato da Billo Kenobi per liberarti di link optimizer. Se hai difficoltà nell'interpretazione, chiedi pure in questo forum.

Prima di utilizzare la guida, con hiajckthis, fissa:
O20 - Winlogon Notify: satau320 - C:\WINDOWS\SYSTEM32\satau320.dll
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi192967.exe (file missing)

Cerca ed elimina i seguenti file:
C:\WINDOWS\SYSTEM32\satau320.dll
C:\WINDOWS\system32\aspi192967.exe (se c'è)
Inoltre:
start>esegui>sc stop aspi113210 (lo scrivi nello spazio bianco)>OK
start>esegui>sc delete aspi113210 (lo scrivi nello spazio bianco)>OK
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi dolego » 06/08/06 14:29

ciao luke, ho fixato O20 - Winlogon Notify: satau320 - C:\WINDOWS\SYSTEM32\satau320.dll
O23 - Service: Microsoft ASPI Manager (aspi113210) - Unknown owner - C:\WINDOWS\system32\aspi192967.exe (file missing)
ma rimangono... il file satau non si può eliminare, accesso negato ance in modalità provvisoria (quanto mi manca il dos...). Ho provato a seguire la guida ma da quel che ho capito devo solo scaricare un altro prog diverso da Hickjackethis e fixxare cio che mi da il problema... una cosa... dove lo trovo quel prog???
dolego
Utente Junior
 
Post: 68
Iscritto il: 03/03/06 12:06

Postdi dolego » 06/08/06 14:31

un'altra cosa.... CTRL ALT CANC è disabilitato dall'amministratore... (???!?!?)
dolego
Utente Junior
 
Post: 68
Iscritto il: 03/03/06 12:06

Postdi andorra24 » 06/08/06 14:33

dolego ha scritto:un'altra cosa.... CTRL ALT CANC è disabilitato dall'amministratore... (???!?!?)

Questo problema puoi risolverlo in questo modo:
http://www.megalab.it/articoli.php?id=683
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi dolego » 06/08/06 14:40

iil problema del CTRL ALT CANC non è risolto lo stsso... adesso mi da che si è verificato un errore taskmanager e l'applicazione verrà chiusa....
dolego
Utente Junior
 
Post: 68
Iscritto il: 03/03/06 12:06

Postdi Luke57 » 06/08/06 14:53

Ciao, non è così semplice, per adesso lascia perdere il task manager:
1)Scarica Rootkit revelear da qui:
http://www.sysinternals.com/Utilities/R ... ealer.html
Lo fai girare nel computer, con antivius e applicazioni chiusi. Il log che viene generato lo copi e lo incolli qui nel forum

2) Da:
start>esegui, nello spazio bianco digiti control userpasswords2 e dai l’OK.
Fra le utenze, ne dovresti trovare una con nome casuale, segnati il nome (tipo GOYXZ e via dicendo)

3) Rendi visibili file e cartelle nascosti:
da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

cerca in C:\Documents and settings una cartella che ha lo stesso nome dell’utenza malevola

4) Da:
start>esegui, nello spazio bianco scrivi services.msc e dai l’OK. Nella finestra Servizi, scorri l’elenco dei servizi e ne dovresti trovare uno che nella colonna Connessione ha un nome casuale.Click con il tasto destro su di esso>Proprietà e ti scrivi il percorso del file eseguibile.

In un post nel forum comunichi:
1)il log di Rootkitrevelear
2)Il nome del servizio eventualmente trovato
3)Il nome e percorso del file eseguibile del servizio medesimo
4)Il nome della cartella trovata in C:\Documents and settings
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi dolego » 06/08/06 15:38

ciao luke... nessuna buona notizia!
Come prima cosa ho scaricato RootkitRevealer, ma cliccandoci 2 volte, cliccandoci su con il tasto DX e clic su esegui, apri.. niente! non da segni di vita, come se non facessi nulla!
Seconda cosa, ho trovato un utente come nome strano, BAz, ma non esiste alcuna cartella con questo nome in ducumenti and Setting
Terzo Quando vado su esegui e scrivo services.msc mi dice impossibile trovare services.msc
è grave???? o sono semplicemente imbranato??
adesso devo andare via, se puoi fammi sapere qualcosa verrò o domani o nei prossimi giorni a vedere la risposta. Poi ti farò sapere.
Per ora davvero GRAZIE GRAZIE GRAZIE!!!!!!! :-)
ciao
Stefano
dolego
Utente Junior
 
Post: 68
Iscritto il: 03/03/06 12:06

Postdi BilloKenobi » 07/08/06 11:07

Luke57 ha scritto:Ciao Billo, mi permetto una critica costruttiva ;)
Individui nolto bene il linkotmizer, ma se consigli di disattivare in primis il ripristino configurazione di sistema, spunti immediatamente una delle armi di disinfezione per il suddetto trojan ( ripristinare il computer a uno stato precedente all'infezione, data che si può rilevare, in presenza di rootkit, facendo girare Rootkitrevelear).


hai perfettamente ragione, ho fatto confusione col copia incolla, volevo mettere le istruzioni x il LinkOptmizer all'inizio, prima delle istruzioni per il log normale.

chiedo umilemente perdono 8)
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
BilloKenobi
Utente Senior
 
Post: 348
Iscritto il: 08/07/06 11:05

Postdi Luke57 » 07/08/06 11:10

dolego ha scritto:ciao luke... nessuna buona notizia!
Come prima cosa ho scaricato RootkitRevealer, ma cliccandoci 2 volte, cliccandoci su con il tasto DX e clic su esegui, apri.. niente! non da segni di vita, come se non facessi nulla!
Seconda cosa, ho trovato un utente come nome strano, BAz, ma non esiste alcuna cartella con questo nome in ducumenti and Setting
Terzo Quando vado su esegui e scrivo services.msc mi dice impossibile trovare services.msc
è grave???? o sono semplicemente imbranato??
adesso devo andare via, se puoi fammi sapere qualcosa verrò o domani o nei prossimi giorni a vedere la risposta. Poi ti farò sapere.
Per ora davvero GRAZIE GRAZIE GRAZIE!!!!!!! :-)
ciao
Stefano

Ciao, penso che tu abbia qualche processo malevolo che ti impedisce le normali operazioni.
Apri hijackthis, premi "open the misc tools section", "open process manager", fammi sapere la lista dei processi che hai nel computer.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Luke57 » 07/08/06 11:13

BilloKenobi ha scritto:
Luke57 ha scritto:Ciao Billo, mi permetto una critica costruttiva ;)
Individui nolto bene il linkotmizer, ma se consigli di disattivare in primis il ripristino configurazione di sistema, spunti immediatamente una delle armi di disinfezione per il suddetto trojan ( ripristinare il computer a uno stato precedente all'infezione, data che si può rilevare, in presenza di rootkit, facendo girare Rootkitrevelear).


hai perfettamente ragione, ho fatto confusione col copia incolla, volevo mettere le istruzioni x il LinkOptmizer all'inizio, prima delle istruzioni per il log normale.

chiedo umilemente perdono 8)

Ego te absolvo ;)
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi dolego » 07/08/06 12:17

luke.... la lista che appare è vuota!!
dolego
Utente Junior
 
Post: 68
Iscritto il: 03/03/06 12:06


Torna a Sicurezza e Privacy


Topic correlati a "Non mi va più niente, AIUTO!! Posto un log...":


Chi c’è in linea

Visitano il forum: Nessuno e 6 ospiti