Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

sono disperato,moderatori o utenti,aiuto x il topic hijakthi

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi PORODINO » 08/10/06 15:00

fuser ha scritto:Controlla queste entry e cancella coolwebsearch se lo trovi:


HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
HKCU\Software\Microsoft\Internet Explorer\SearchURL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Bar

scusa la mia ignoranza,dove le controllo ste cose?
PORODINO
Utente Senior
 
Post: 311
Iscritto il: 11/09/06 21:13

Sponsor
 

Postdi fuser » 08/10/06 15:20

scusa non sono stato chiaro io,
va su:start/esegui e digita:regedit,naviga cliccando sul segno +per trovare le entry che to ho postato.
HKCU = HKEY_CURRENT_USER ,gli altri sono comprensibili.
ti consiglio di postare i riferimenti a coolwebsearch prima di cancellare.
fuser
Utente Junior
 
Post: 83
Iscritto il: 05/10/06 15:18

Postdi PORODINO » 08/10/06 22:21

innanzitutto grazie fuser x la disponibilita!ora,ho controllato,e non vedo nessuna scritta coolwebsearch!non so se c entra qlc,ma in:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\ tu dici SEARCH BAR,ma non cè!e poi in:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\non ci sono: search page,default_page_url,default_search_url!e non ci sono questi 2:
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Search\CustomizeSearch
non so se c entra qlc......
sono sempre piu disperato.....
PORODINO
Utente Senior
 
Post: 311
Iscritto il: 11/09/06 21:13

Postdi fuser » 08/10/06 22:52

Se consideriamo il fatto che coolwebsearch ha una serie enorme di varianti non e' certo facile poterti aiutare,il primo passo sarebbe per lo meno conoscerne il nome e qui' si tratta d'essere un po' intuitivi,pazienti e caparbi.Di certo,sappiamo che per agire deve essersi caricato cioe' residente nella memoria di windows,ora premendo CTRL-ALT-DEL appare task manager
puoi vedere i processi(tab processi)attualmente in memoria e in applicazioni(tab applicazioni) i pgr,non meno importanti.Ora postaci tutto cio' che c'e' scritto li.
fuser
Utente Junior
 
Post: 83
Iscritto il: 05/10/06 15:18

Postdi PORODINO » 09/10/06 12:59

ok,allora ti scrivo tutto:
alg.exe
ashwebsv.exe
ctfmon.exe
ashdisp.exe
vsnpstd3.exe
camerafixer.exe(a proposito,mi sai dire cosè?)
opwarese2.exe
wscntfy.exe
drvlsnr.exe
smtray.exe
hkcmd.exe
igfxtray.exe
dslagent.exe
gsicon.exe
sdhelp.exe
guard.exe
ashserv.exe
aswupdsv.exe
iexplorer.exe
isass.exe
services.exe
winlogon.exe
csrss.exe
sysenf-1.exe
smss.exe
smagent.exe

poi altri processi,ma che conosco.....!
PORODINO
Utente Senior
 
Post: 311
Iscritto il: 11/09/06 21:13

Postdi fuser » 09/10/06 20:16

Camerafixer e' un servizio startup per la webcam(cinese?)
anche il resto sembra essere a posto.
fuser
Utente Junior
 
Post: 83
Iscritto il: 05/10/06 15:18

Postdi PORODINO » 09/10/06 21:01

ti rendi conto?tutto sembra ok,gli antivirus non rilevano nulla,eppure......
PORODINO
Utente Senior
 
Post: 311
Iscritto il: 11/09/06 21:13

Postdi fuser » 09/10/06 21:18

fuser
Utente Junior
 
Post: 83
Iscritto il: 05/10/06 15:18

Postdi fuser » 09/10/06 21:30

http://72.14.221.104/search?q=cache:RJw ... =clnk&cd=1

Download now/scegli:apri/lclicca su x-raypc.exe/clicca su Online-analyzer/ clicca su:savelog
salva sul desktop e posta il contenuto
fuser
Utente Junior
 
Post: 83
Iscritto il: 05/10/06 15:18

Postdi PORODINO » 09/10/06 22:35

ho letto il tuo mp(grazie dell aiuto),ma clicco xraypc,poi se premo download mi si chiude tutto!!!!!!!!!è una cosa indegna,non ho speranze guarda,ormai mi sono arreso......
PORODINO
Utente Senior
 
Post: 311
Iscritto il: 11/09/06 21:13

Postdi piercing » 09/10/06 22:43

Perchè questo topic è qui? se magari fosse stato nella sua sezione l'avrei letto prima...

cmq... la soluzione è la seguente (mi è capitato su un pc... che ha scaricato l'impossibile da emule :evil: )

primo... chiudi a mano tutti gli exe che vedi da taskmanager (tranne quelli veramente di sistema)... in modo tale che riuscirai a far partire hjt.

una volta levate a mano tutte le chiavi di partenza, c'è da modificare un pò di roba che si scrive sul win.ini

altra parte dell'infezione l'ho levata col tool di rimozione di gromozon http://www.prevx.com/gromozon.asp
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi PORODINO » 09/10/06 22:59

porca miseriaaaaaaaaaaaaaaaaaaaaaa
fermi tutti,ho chiuso dal taskmanager tuti gli exe ke ha nome utente avevano il mio nome,e hijack è partito!!!!!!!ora,ke devo fare?
PORODINO
Utente Senior
 
Post: 311
Iscritto il: 11/09/06 21:13

Postdi PORODINO » 09/10/06 23:07

e tra l altro,questo è il log:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\Programmi\Spyware Doctor\sdhelp.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\TRISNA~1\SSI\SYSENF~1.EXE
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Documents and Settings\bizio\Desktop\_Hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.libero.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\javaset.exe","c:\windows\googleservice.exe","c:\windows\canonhelper.exe",
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programmi\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [DrvLsnr] C:\Programmi\Analog Devices\SoundMAX\DrvLsnr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [OpwareSE2] "C:\Programmi\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [CameraFixer] C:\WINDOWS\CameraFixer.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.libero.it
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne ... nicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{061EE899-FD0B-441D-B8F9-1D9920035C43}: NameServer = 193.70.152.15 193.70.152.25
O17 - HKLM\System\CS1\Services\Tcpip\..\{061EE899-FD0B-441D-B8F9-1D9920035C43}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~2\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~2\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programmi\Spyware Doctor\sdhelp.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SymWMI Service (SymWSC) - Unknown owner - C:\Programmi\File comuni\Symantec Shared\Security Center\SymWSC.exe (file missing)
O23 - Service: SysEnforce - Unknown owner - C:\PROGRA~1\TRISNA~1\SSI\SYSENF~1.EXE
O23 - Service: UpdYyq - Unknown owner - C:\Programmi\File comuni\System\vKuFy.exe (file missing)
PORODINO
Utente Senior
 
Post: 311
Iscritto il: 11/09/06 21:13

Postdi pjfry » 09/10/06 23:08

piercing ha scritto:Perchè questo topic è qui? se magari fosse stato nella sua sezione l'avrei letto prima...

ehm... io... uhm... :oops:
sposto :D
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi piercing » 10/10/06 10:06

PORODINO ha scritto:porca miseriaaaaaaaaaaaaaaaaaaaaaa
fermi tutti,ho chiuso dal taskmanager tuti gli exe ke ha nome utente avevano il mio nome,e hijack è partito!!!!!!!ora,ke devo fare?


devi scaricare il tool che ti ho detto, e farlo girare...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Pao1o » 10/10/06 12:10

pjfry ha scritto:
piercing ha scritto:Perchè questo topic è qui? se magari fosse stato nella sua sezione l'avrei letto prima...

ehm... io... uhm... :oops:
sposto :D


No, ti consiglio di non spostarlo.

Il poveroDino l'ha messo qui,
perchè dove stava prima, non riusciva a leggerlo, in quanto se c'è scritta la parola incriminata (hij**k) gli si chiude subito ie..

Conviene lasciarlo qui.

P.S. nessuno scriva la parola incriminata, mi raccomando.

Ciao.
Avatar utente
Pao1o
Utente Senior
 
Post: 1375
Iscritto il: 23/10/05 12:58
Località: non scrivo più su questo forum per divergenze

Postdi Pao1o » 10/10/06 12:31

Cmq mi diverte molto questo topic, ha mobilitato mezzo forum, tutti i big, ha provato decine di tool, ma nessuno di quelli provati sembra riuscire.

Mi ricorda la storia del cekka con il barracuda :)

E' diventata una questione di principio.

E' chiaro che formattando risolverebbe tutto, ma vediamo chiper primo riesce a risolverlo: siamo in ballo e balliamo.

Per quanto riguarda il log: coome lo hai fatto?

Hai alcune cose sconosciute ed altre sospette.

Immagine
Immagine
Avatar utente
Pao1o
Utente Senior
 
Post: 1375
Iscritto il: 23/10/05 12:58
Località: non scrivo più su questo forum per divergenze

Postdi Pao1o » 10/10/06 12:58

In particolare quell

_hij**k con il trattino basso puzza di paccottiglia.

Però mi sa che ci siamo giocati il porodino.

Non so se su questo forum, riuscira a leggere il topic.
E' un forum troppo pieno dei nomi innominabili.

Speriamo riesca.

Ciao.
Avatar utente
Pao1o
Utente Senior
 
Post: 1375
Iscritto il: 23/10/05 12:58
Località: non scrivo più su questo forum per divergenze

Postdi PORODINO » 10/10/06 13:10

si si,ci riesco,almeno sembra(da quello ke ho capito è se è nel titolo o ci sono dei link)!
comunque!il log lho fatto con hijakthi,infatti come ho detto,chiudendo tutti gli exe dal taskmanager è partito!quel hijacthi col _ è un hijak che un utente qyui m aveva detto di fare,per cui non credo sia un problema(spero)!
grozom mi dice questo:
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.

ringrazio veramente tuti per il sostegno,fenomeni!
PORODINO
Utente Senior
 
Post: 311
Iscritto il: 11/09/06 21:13

Postdi Pao1o » 10/10/06 13:18

Allora fixa le cose sospette riavvi e vedi se funziona.

Ciao.
Avatar utente
Pao1o
Utente Senior
 
Post: 1375
Iscritto il: 23/10/05 12:58
Località: non scrivo più su questo forum per divergenze

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "sono disperato,moderatori o utenti,aiuto x il topic hijakthi":

Aiuto urgente!!!
Autore: templare77
Forum: Software Windows
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 5 ospiti