Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Strane connessioni...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Strane connessioni...

Postdi Andy P. » 01/09/07 16:37

Quando navigo in Internet mi capita a volte che cade la connessione; ho appurato che la causa è la prolunga del cavo telefonico di ben 15 metri. Il mio problema è però un'altro. Quando cade la connessione mi appaiono delle finestre che dicono: "Da un utente o da un programma sono state richieste informazioni da reoboe.com. Quale connessione utilizzare?"
Avviene poi che tra le mie connessioni (ne ho una ADSL ed una a 56K) se ne aggiunge automaticamente un'altra chiamata nmloi. A volte al posto di reoboe.com appaiono altri indirizzi tipo modyne.net ed altri.
Vi chiedo se ciò è sintomo che sono infettato da virus o altro oppure se non c'è da preoccuparsi.
Grazie , Andy P.
Andy P.
Utente Junior
 
Post: 91
Iscritto il: 29/11/06 23:00

Sponsor
 

Postdi Mikele46 » 01/09/07 19:31

da quello che ho capito si tratta di un dialer o spyware...ma non possono esserne sicuro...quindi iniziamo con i controlli di routibe...posta un log di hijackthis...

http://www.pc-facile.com/download/homep ... is/267.htm
Immagine
Avatar utente
Mikele46
Utente Senior
 
Post: 521
Iscritto il: 20/08/06 15:16
Località: Napoli

Postdi Andy P. » 01/10/07 17:46

Mi scuso per aver fatto passare molto tempo, ma sono stato davvero incasinato con il lavoro.
Tornando al problema del mio PC, ho provato ad eseguire hijackthis, ma, non appena si apre la finestra del programma, si richiude dopo pochi istanti. Anche alcune pagine di Internet Explorer (compreso il forum di pc-facile) si chiudono da sole!
Adesso sto scrivendo da un'altro PC. Cosa si può fare?
Andy P.
Utente Junior
 
Post: 91
Iscritto il: 29/11/06 23:00

Postdi SkunkWorks 68 » 01/10/07 17:50

Possibile infezione da Gromozon.
Dai un'occhiata ai threads in rilievo.
Continuate pure a navigare con IE(specie il 6)... :roll: :mmmh:
Aspettiamo anche altri,o Luke 57.
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi Andy P. » 02/10/07 06:56

Ho letto i vari suggerimenti sull'argomento. Come procedo, scarico systemscan da http://www.suspectfile.com/systemscan, oppure lancio direttamente i tool di rimozione per il malware linkoptimizer/gromozon:

http://www.prevx.com/gromozon.asp


Tool di rimozione della Symantec:

http://smallbiz.symantec.com/security_r ... 16-4153-99.
Grazie
Andy P.
Utente Junior
 
Post: 91
Iscritto il: 29/11/06 23:00

Postdi SkunkWorks 68 » 02/10/07 08:42

Prova con quello della Prevx...
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi Andy P. » 02/10/07 10:15

Ho eseguito il tool di rimozione della Prevx: mi ha scovato un file .dll infettato dal malware Linkoptimizer e mi ha rimosso Gromozon rootkit.
Purtroppo non mi sono annotato le descrizioni esatte! :oops:
Comunque i problemi non sono risolti: ho provato ad eseguire hijackthis ma si richiude da solo; ho provato a cliccare su un link di questo forum e mi si è chiuso IE. Che debbo fare adesso?
Andy P.
Utente Junior
 
Post: 91
Iscritto il: 29/11/06 23:00

Postdi SkunkWorks 68 » 02/10/07 10:31

La vedo male...
Ma perchè non cambiate browser... :cry:
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi Andy P. » 02/10/07 15:45

Sto pensando seriamente a cambiare browser, ma per adesso come risolvo la situazione?
Grzie mille
Andy P.
Utente Junior
 
Post: 91
Iscritto il: 29/11/06 23:00

Postdi SkunkWorks 68 » 02/10/07 15:51

Andy P. ha scritto:Sto pensando seriamente a cambiare browser, ma per adesso come risolvo la situazione?
Grzie mille

L'ho già detto molte volte.La soluzione ottimale,se non si vuole formattare è quella di smontare(se possibile)l'HD del tuo PC e montarlo come secondario su un altro PC con ottimi antivirus e antispyware aggiornatissimi,eseguire le scansioni ed eliminare tutto quello che si trova.
Ciao
"Quando ti svegli la mattina,pensa quale prezioso privilegio e’ essere vivi:respirare, pensare,provare gioia e amare"(Marco Aurelio).
Avatar utente
SkunkWorks 68
Utente Senior
 
Post: 2336
Iscritto il: 03/03/07 08:55

Postdi Andy P. » 03/10/07 12:52

Come secondo PC ho un portatile, quindi dovrei chiedere a qualche amico se mi presta un desktop.
E' possibile peò che non si possa fare nient'altro?!
Andy P.
Utente Junior
 
Post: 91
Iscritto il: 29/11/06 23:00

Postdi Pao1o » 03/10/07 13:23

prova qui
http://www.pc-facile.com/forum/viewtopi ... highlight=
era un problema molto simile al tuo e l'utente ha risolto
Immagine
Avatar utente
Pao1o
Utente Senior
 
Post: 1375
Iscritto il: 23/10/05 12:58
Località: non scrivo più su questo forum per divergenze

Postdi Andy P. » 05/10/07 17:44

Seguendo le indicazioni del topic che mi hai suggerito ho scoperto che il processo che mi impediva di aprire hijackthis era MacromediaStorage.exe.
Dopo aver terminato quel processo da Task Manager sono riuscito ad aprire hijackthis ed ho eseguito la scansione.
Vi posto il log, qualcuno può darci un'occhiata? Grazie

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Garzanti Linguistica\Hazon Clic\Hazon.exe
C:\DOCUME~1\ANDREA~2.AND\IMPOST~1\Temp\1271968.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\Programmi\Microsoft Office\Office10\msoffice.exe
C:\Programmi\HP\Digital Imaging\bin\hpqimzone.exe
C:\Documents and Settings\Andrea.ANDREA-54E6M7D2\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.libero.it:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\compaq-tool.exe","c:\windows\system32\macromediastorage.exe",
O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET
O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM
O1 - Hosts: 160.128.161.153 bute2ieh.com
O1 - Hosts: 98.142.154.12 catolcwxcav.com
O1 - Hosts: 164.105.11.128 ukjp9mn2.com
O1 - Hosts: 26.61.135.9 vkipqugtsx.com
O1 - Hosts: 74.155.15.232 wvdimh98zhq.com
O1 - Hosts: 21.43.177.216 zobcslgff.com
O1 - Hosts: 217.65.130.117 fullows.com
O1 - Hosts: 7.19.148.180 thumbstring.net
O1 - Hosts: 46.227.219.28 wschooler.com
O1 - Hosts: 237.198.174.168 addwjf6zoy.com
O1 - Hosts: 42.9.237.234 itqoipyqsq.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {72ED8AA3-4F69-B557-609F-BB5E37FB2811} - C:\WINDOWS\fbmcg1.dll (file missing)
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HAZON CLIC] C:\Programmi\Garzanti Linguistica\Hazon Clic\Hazon.exe -I
O4 - HKLM\..\Run: [gpxhd] "C:\DOCUME~1\ANDREA~2.AND\IMPOST~1\Temp\1271968.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [gpxhd] "C:\DOCUME~1\ANDREA~2.AND\IMPOST~1\Temp\1271968.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 4590025828
O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files/ac ... inder2.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{22168F9F-DE3C-4FCE-B912-FBABE18B2811}: NameServer = 10.0.0.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{22168F9F-DE3C-4FCE-B912-FBABE18B2811}: NameServer = 10.0.0.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{22168F9F-DE3C-4FCE-B912-FBABE18B2811}: NameServer = 10.0.0.2
O17 - HKLM\System\CS3\Services\Tcpip\..\{22168F9F-DE3C-4FCE-B912-FBABE18B2811}: NameServer = 10.0.0.2
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe

--
End of file - 7754 bytes
Andy P.
Utente Junior
 
Post: 91
Iscritto il: 29/11/06 23:00

Postdi Mikele46 » 05/10/07 22:15

1. manca una parte del log


2. fixa ed elimina queste .exe (se non ci riesci vai in modalità provvisoria premendo f8 all'avvio)


C:\DOCUME~1\ANDREA~2.AND\IMPOST~1\Temp\1271968.exe


O1 - Hosts: 200.73.174.154 STORAGE.HOSTANCE.NET


O1 - Hosts: 200.73.174.154 STORAGE-TASP.COM


O1 - Hosts: 160.128.161.153 bute2ieh.com


O1 - Hosts: 98.142.154.12 catolcwxcav.com


O1 - Hosts: 164.105.11.128 ukjp9mn2.com


O1 - Hosts: 26.61.135.9 vkipqugtsx.com


O1 - Hosts: 74.155.15.232 wvdimh98zhq.com


O1 - Hosts: 21.43.177.216 zobcslgff.com


O1 - Hosts: 217.65.130.117 fullows.com


O1 - Hosts: 7.19.148.180 thumbstring.net


O1 - Hosts: 46.227.219.28 wschooler.com


O1 - Hosts: 237.198.174.168 addwjf6zoy.com


O1 - Hosts: 42.9.237.234 itqoipyqsq.com


O2 - BHO: Class - {72ED8AA3-4F69-B557-609F-BB5E37FB2811} - C:\WINDOWS\fbmcg1.dll (file missing)


O4 - HKLM\..\Run: [gpxhd] "C:\DOCUME~1\ANDREA~2.AND\IMPOST~1\Temp\1271968.exe"


O4 - HKCU\..\Run: [gpxhd] "C:\DOCUME~1\ANDREA~2.AND\IMPOST~1\Temp\1271968.exe"


è.s che fatica!!!! comunque prova e riposta un log
Immagine
Avatar utente
Mikele46
Utente Senior
 
Post: 521
Iscritto il: 20/08/06 15:16
Località: Napoli

Postdi Andy P. » 06/10/07 12:47

OK eseguito. Ti riposto il log.
A proposito, che ne dici del seguente processo, che mi impedisce di aprire hijackthis:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\compaq-tool.exe","c:\windows\system32\macromediastorage.exe",

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13.41.00, on 06/10/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Garzanti Linguistica\Hazon Clic\Hazon.exe
C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\ADSL\StarModem ADSL USB MODEM\dslmon.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\OpenOffice.org 2.1\program\soffice.exe
C:\Programmi\OpenOffice.org 2.1\program\soffice.BIN
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\Microsoft Office\Office10\msoffice.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Andrea.ANDREA-54E6M7D2\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.libero.it:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\compaq-tool.exe","c:\windows\system32\macromediastorage.exe",
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programmi\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HAZON CLIC] C:\Programmi\Garzanti Linguistica\Hazon Clic\Hazon.exe -I
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programmi\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Avvio rapido HP Photosmart Premier.lnk = C:\Programmi\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/ ... acscom.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 4590025828
O16 - DPF: {E862C832-3A5F-4CEB-BFAA-167B22010A71} (InfosFinder2.InfosFinder) - http://support.packardbell.com/files/ac ... inder2.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{22168F9F-DE3C-4FCE-B912-FBABE18B2811}: NameServer = 10.0.0.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{22168F9F-DE3C-4FCE-B912-FBABE18B2811}: NameServer = 10.0.0.2
O17 - HKLM\System\CS2\Services\Tcpip\..\{22168F9F-DE3C-4FCE-B912-FBABE18B2811}: NameServer = 10.0.0.2
O17 - HKLM\System\CS3\Services\Tcpip\..\{22168F9F-DE3C-4FCE-B912-FBABE18B2811}: NameServer = 10.0.0.2
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Ahead\InCD\InCDsrv.exe

--
End of file - 6893 bytes
Andy P.
Utente Junior
 
Post: 91
Iscritto il: 29/11/06 23:00

Postdi Andy P. » 03/11/07 02:33

Vorrei chiedere a Mikele46 o a qualcun'altro di buona volontà se mi può controllare l'ultimo log di hijackthis che ho postato.
Purtroppo il problema di partenza, ovvero la comparsa di "strane connessioni", si ripresenta ancora.
Grazie anticipatamente
Andy P.
Utente Junior
 
Post: 91
Iscritto il: 29/11/06 23:00

Postdi Luke57 » 03/11/07 15:04

Andy P. ha scritto:Vorrei chiedere a Mikele46 o a qualcun'altro di buona volontà se mi può controllare l'ultimo log di hijackthis che ho postato.
Purtroppo il problema di partenza, ovvero la comparsa di "strane connessioni", si ripresenta ancora.
Grazie anticipatamente

Ciao,scarica AVGPfix da qui (è un cleaner puro):
http://www.nod32.it/cgi-bin/mapdl.pl?tool=Agent.VP
(mettilo sul desktop)

Apri il taskmanager (Ctrl+Alt+anc), premi il tab Processi cerchi questi processi, se presenti:
compaq-tool.exe
macromediastorage.exe
li evidenzi e premi termina processo.


Rendi visibili file e cartelle nascosti:
da risorse del computer>strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click OK

Apri hijackthis, premi "do a system scan only", cerchi e spunti le voci seguenti:
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,"c:\windows\compaq-tool.exe","c:\windows\system32\macromediastorage.exe",

premi fix checked

Poi avvii Avgpfix
(premi start, individui il file:
c:\windows\compaq-tool.exe
premi OK per eliminare il file).
Fai così anche per l'altro file:
c:\windows\system32\macromediastorage.exe

Fatto ciò, scarica questi tools:

prevx
http://www.prevx.com/gromozon.asp

Tool di rimozione della Symantec:
http://securityresponse.symantec.com/av ... inkopt.exe

Eseguili uno alla volta; disattiva il tuo antivirus durante la scansione.

Quello della prevx fa riavviare il computer e al riavvio viene completata la scansione, al termine della quale viene rilasciato un report che trovi in C:\Gromozon_Removal.log.

Poi esegui il tool della symantec (dalla modalità provvisoria; se
non sai come andarci, premi ripetutamente il tasto F8 all'accensione del computer prima che inizi a caricarsi windows; sulla schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e premendo invio).

Anche questo tool rilascia un rapporto della scansione nella cartella dove
hai messo il file (Fixlinkopt.log)
Invia anche questo rapporto.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Postdi Andy P. » 04/11/07 11:10

Ti invio i rapporti dei tool di rimozione:

Quello della Prevx....

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programmi\File comuni


Trojan.Gromozon does not exist - your system is clean.

Quello della Symantec....

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Restored SeDebugPrivilege to Administrators group

Trojan.Linkoptimizer has not been found on your computer.


Ciao, Andy P.
Andy P.
Utente Junior
 
Post: 91
Iscritto il: 29/11/06 23:00

Postdi Andy P. » 06/11/07 10:00

Mi pare di capire che non sono infettato nè dal Trojan.Gromozon , nè dal Trojan.Linkoptimizer .
Qual'è allora il problema?
Grazie
Andy P.
Utente Junior
 
Post: 91
Iscritto il: 29/11/06 23:00

Postdi Luke57 » 06/11/07 10:06

Andy P. ha scritto:Mi pare di capire che non sono infettato nè dal Trojan.Gromozon , nè dal Trojan.Linkoptimizer .
Qual'è allora il problema?
Grazie

Ciao, meglio, di solito è presente in casi come il tuo. Posta un nuovo log di hijackthis.
Luke57
Moderatore
 
Post: 6410
Iscritto il: 11/08/05 19:10

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Strane connessioni...":


Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti