Visto che nel mio topic precedente, ovvero
http://www.pc-facile.com/forum/viewtopic.php?t=62507
si sono mischiate le richieste d'aiuto di altri utenti, facendo perdere di vista quello che era il mio problema, chiedo gentilmente a Luke57 e agli altri che mi avevano risposto, di visionare questo post per continuare la discussione, dal momento che non so se ancora sono infetto o meno.
Questo è il log postato su hijackthis.de con l'analisi dei frequentatori, log che avevo proposto al gentilissimo Luke57 per sapere i suoi commenti in proposito. Vorrei capire se c'è qualcos'altro da togliere o meno.
Grazie vivamente a chi replica la discussione in questo topic!
_____________________________________________________________
[Y] Logfile of Trend Micro HijackThis v2.0.0 (BETA) - Dovrebbe trattarsi dell'ultima versione.
[WINXP] Platform: Windows XP SP2 (WinNT 5.01.2600) -
[Y] Boot mode: Normal - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\System32\smss.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\SYSTEM32\winlogon.exe - Systemprozess - Windows Login Routine
[Y] C:\WINDOWS\system32\services.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\system32\lsass.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\system32\svchost.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\System32\svchost.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\Explorer.EXE - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe - Symantec Update related
[Y] C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe - Symantec AppCore Service
[Y] C:\WINDOWS\system32\spoolsv.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\system32\nvsvc32.exe - Non pericoloso, ma superfluo. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\System32\PAStiSvc.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\system32\svchost.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\Programmi\MSN PLUS\MsgPlus.exe - Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\programme\messengerplus! 3\!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni. Messenger Plus
[Y] C:\WINDOWS\SOUNDMAN.EXE - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\WINDOWS\system32\RunDLL32.exe - RUNDLL32 is the Microsoft Windows program that loads DLLs into memory so that they can be used by specific programs or by Windows.
[Y] C:\PROGRA~1\SAMSUN~1\MOUSE32A.EXE -
[AVSCAN] C:\Programmi\File comuni\Symantec Shared\ccApp.exe - Part of Norton AntiVirus
[Y] C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe - Java Runtime
[Y] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe - Part of Nokia PC Suite 6
[Y] C:\WINDOWS\system32\ctfmon.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\Programmi\MSN Messenger\msnmsgr.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\PROGRA~1\FILECO~1\Nokia\MPAPI\MPAPI3s.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE - Nokia PC Suite, F-Secure Backweb Client
[Y] C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe -
[Y] C:\Programmi\Adobe\Acrobat 7.0\Reader\AcroRd32.exe - Acrobat Reader
[?] C:\Documents and Settings\Fam. Rotolo\Desktop\Analizzatore_HiJackThis_v2.exe - Processo sconosciuto.
[Y] R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 - Questa pagina è stata identificata come sicura.
[Y] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ - Questa pagina è stata identificata come sicura.
[Y] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 - Questa pagina è stata identificata come sicura.
[Y] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 - Questa pagina è stata identificata come sicura.
[Y] R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 - Questa pagina è stata identificata come sicura.
[Y] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 - Questa pagina è stata identificata come sicura.
[Y] R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = -
[Y] R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = -
[X] R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = - Questa voce è stata classificata dai nostri visitatori come infetta.
[Y] R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = -
[Y] R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti - Questa voce è stata classificata dai nostri visitatori come sicura.
[?] F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe - Fuzzy Algorithmcheck (3.27 / 5.00), Neutral
[Y] O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - AcroIEhelper.ocx, AcroIEhelper.dll - Adobe Acrobat reader, http://www.adobe.com/products/acrobat/re adstep2.html
[N] O2 - BHO: (no name) - {184726FC-0A5F-1C4B-02D0-96C8A7EC9D84} - (no file) - Da eliminare!Gli elementi non necessari (disattivati) dovrebbero essere eliminati. LinkOptimizer.dll - Downloader trojan, attempts to connect to various Ukrainian websites - also see here, http://www.sophos.com/virusinfo/analyses /trojiefeatbc.html
[Y] O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\NppBho.dll - NppBho.dll - Norton, http://www.symantec.com/home_homeoffice/ index.jsp Internet Security "Fraud Monitor Taskbar"
[N] O2 - BHO: (no name) - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - (no file) - Gli elementi non necessari (disattivati) dovrebbero essere eliminati. NISShExt.dll - NIS 2004, http://www.symantec.com/sabu/nis/nis_pe/
[N] O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file) - Gli elementi non necessari (disattivati) dovrebbero essere eliminati. NavShExt.dll - Norton Antivirus, http://www.symantec.com/nav/nav_9xnt/
[N] O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) - Da eliminare!Gli elementi non necessari (disattivati) dovrebbero essere eliminati. Questa voce è stata classificata dai nostri visitatori come infetta.
[Y] O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programmi\File comuni\Symantec Shared\coShared\Browser\1.0\UIBHO.dll - UIBHO.dll - Norton, http://www.symantec.com/home_homeoffice/ index.jsp Internet Security "Fraud Monitor Taskbar"
[Y] O4 - HKLM..Run: [NVIDIA nTune] "C:ProgrammiNVIDIA CorporationnTune\nTune.exe" clear - nVidia nTune - motherboard monitoring and overclocking utility for nVidia nForce chipset based motherboards
[Y] O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe - (1) Ghostscript device driver for printers understanding Hewlett-Packard's Printer Command Language - see here for more info or (2) Creates 1 or all 3 icons on taskbar. The 1st one has a yellow border around it warning that ink is low on the printer. The 2nd one is HP Device Detection Software and the 3rd one is about a card being inserted into the Hp printer
[Y] O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MSN PLUS\MsgPlus.exe" - Non pericoloso, ma superfluo. MessengerPlus - third party MSN Messenger extension that adds a number of useful features. Bundles the hard to remove C2Media LOP adware. The software does offer you a choice during setup - make sure to install MessengerPlus WITHOUT that
[Y] O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE - Non pericoloso, ma superfluo. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup - Applicazione sconosciuta. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKLM\..\Run: [nwiz] nwiz.exe /install - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKLM\..\Run: [LWBMOUSE] C:\PROGRA~1\SAMSUN~1\MOUSE32A.EXE - Belkin Mouse
[Y] O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe" - Part of Norton AntiVirus. Auto-protect and E-mail check will not function without this
[Y] O4 - HKLM\..\Run: [osCheck] "C:\Programmi\Norton Internet Security\osCheck.exe" - Related to Norton Antivirus from Symantec Corp
[Y] O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" - Fuzzy Algorithmcheck (4.32 / 5.00), Sicuro
[Y] O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_01\bin\jusched.exe" - Java von Sun
[Y] O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog - Nokia PC Suite 6
[Y] O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programmi\MSN PLUS\MsgPlus.exe" /WinStart - Non pericoloso, ma superfluo. MessengerPlus - third party MSN Messenger extension that adds a number of useful features. Bundles the hard to remove C2Media LOP adware. The software does offer you a choice during setup - make sure to install MessengerPlus WITHOUT that
[Y] O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe - Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background - Microsoft s MSN Messenger 6
[Y] O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE') - Office related
[Y] O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE') - Office related
[Y] O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') - Office related
[Y] O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') - Office related
[Y] O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\npjpi160_01.dll - L'elemento è stato identificato come sicuro.
[Y] O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_01\bin\npjpi160_01.dll - L'elemento Sun Java Console è stato identificato come sicuro.
[Y] O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL - L'elemento Research è stato identificato come sicuro.
[Y] O9 - Extra button: Barra di ricerca di Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL - L'elemento Barra di ricerca di Encarta è stato identificato come sicuro.
[N] O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) - Gli elementi non necessari (disattivati) dovrebbero essere eliminati. Questa voce è stata classificata dai nostri visitatori come sicura.
[N] O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) - Gli elementi non necessari (disattivati) dovrebbero essere eliminati. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab - Questo oggetto è sicuro.
[Y] O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://eu-housecall.trendmicro-europe.c ... hcImpl.cab - Questo oggetto è sicuro.
[Y] O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resourc ... oscan8.cab - Questo oggetto è sicuro.
[Y] O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_01) - http://javadl-esd.sun.com/update/1.6.0/ ... 586-jc.cab - Questo oggetto è sicuro.
[X] O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.moviegroup.tv/activex/DownloadMgr.cab - Dovrebbe essere cancellato. Questo elemento è probabilmente sospetto.
[Y] O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab - Questo oggetto è sicuro.
[Y] O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab - Questo oggetto è sicuro.
[Y] O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll - Questa voce è stata classificata dai nostri visitatori come sicura.
[?] O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll -
[?] O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll -
[Y] O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe - Questo servizio (ALUSchedulerSvc.exe) e' stato identificato come non pericoloso. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe - Questo servizio (ccSvcHst.exe) e' stato identificato come non pericoloso.
[Y] O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe - Questo servizio (ccSvcHst.exe) e' stato identificato come non pericoloso.
[Y] O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe - Questo servizio (ccSvcHst.exe) e' stato identificato come non pericoloso.
[Y] O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\VAScanner\comHost.exe - Questo servizio (comHost.exe) e' stato identificato come non pericoloso.
[Y] O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programmi\Norton Internet Security\isPwdSvc.exe - Questo servizio (isPwdSvc.exe) e' stato identificato come non pericoloso.
[Y] O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE - Questo servizio (LUCOMS~1.EXE) e' stato identificato come non pericoloso.
[Y] O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSvcHst.exe - Questo servizio (ccSvcHst.exe) e' stato identificato come non pericoloso.
[Y] O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe - Fuzzy Algorithmcheck (4.16 / 5.00), Sicuro
[Y] O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe - Questo servizio (nvsvc32.exe) e' stato identificato come non pericoloso. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe - Questo servizio (StarWindService.exe) e' stato identificato come non pericoloso. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe - Questo servizio (PAStiSvc.exe) e' stato identificato come non pericoloso. Questa voce è stata classificata dai nostri visitatori come sicura.
[Y] O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe - Questo servizio (symlcsvc.exe) e' stato identificato come non pericoloso.
[Y] O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\AppCore\AppSvc32.exe - Questo servizio (AppSvc32.exe) e' stato identificato come non pericoloso.
_____________________________________________________________
HeeK
Registrazione