Condividi:        

Trojan _p9hEPQkbj.exe

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi Luke57 » 28/12/05 16:08

Spostando il concetto di Dylan in campo medico, gli insegnanti americani ai loro studenti di medicina dicono " se poggiando un orecchio a terra, senti un rumore di zoccoli, prima di pensare alle zebre pensa ai cavalli" (speriamo faccia ridere :) )
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Sponsor
 

Postdi ecasa » 29/12/05 15:08

Ciao a tutti, trovo utile e costruttivo il dialogo i cui sopra , e mi pare ottima l'idea di una guida , magari divisa per sistemi operativi , sui file dello start up e relative voci superflue .

Vi copio la lista di cui sopra con qualche mia nota, se potete gentilmente sottolineare qualcosa alle mie domande in maiuscolo (solo per evidenziarle meglio) sarà già una occasione per me imparare .

So bene che lo startup deve essere il piu' corto possibile per velocizzare e sul vecchio PC P3 a 500 Mz con soli 192 MB di ram la controllo spesso.

Sul PC di mia figlia un P4 a 3Ghz con 512 MB di ram direi che ad occhio non si notano rallentamenti , cio' non toglie che i suggerimenti di Er-Gladiatore siano sempre utili per conoscere meglio la propria macchina e affinare le sue prestazioni.

Una parte di chiavi sospette le ho già fixate, dovrei solo ritoccare cio' che resta secondo le note in grassetto che ho messo nella copia seguente, grazie e a presto.
====================

Fixa questi voci dalla provissoria (Quelle che mancano Fixale dalla modalità normale):
C:\WINDOWS\__p9hEPQkbj.exe
C:\WINDOWS\__p9hEPQkbj.exe
GIA' ELIMINATE

2 - REG:system.ini: Shell=
Cosa è


F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\__p9hEPQkbj.exe
GIA' FIXATA

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - Startup: Microsoft Office OneNote 2003 Quick Launch.lnk = C:\Programmi\Microsoft Office\OFFICE11\ONENOTEM.EXE
ONENOTE lo si usa poco , se la tolgo poi parte da start-menu' avvio ?


O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
LA VERSIONE 3.1 DI STOP DIALER E' COMODA PERCHE' SEGNALA IN REALTIME LE MODIFICHE AL REGISTRO e anche per non dimenticare di avviarlo prima di una connessione

O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe

SE TOLGO LA 04 CHE SUCCEDE AD AUTOCAD ?

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.sgrunt.biz
O15 - Trusted Zone: http://www.skymasters.biz
VOCI 015 GIA' FIXATE


O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsup ... mAData.cab

MIA FIGLIA USA SPESSO MESENGER : SE TOLGO LE VOCI 016 CHE SUCCEDE ?
ecasa
Utente Junior
 
Post: 56
Iscritto il: 13/09/04 14:43

Postdi Dylan666 » 29/12/05 15:27

REG:system.ini: Shell=
È inutile così come è ora, dato che manca la parte dopo l'uguale. Essendo superfluo puoi toglierlo.

ONENOTE:
Sì, parte comunque da Start.
Quella voce indica semplicemente un collegamento presente nella cartella "Esecuzione automatica" in Start > Programmi.
Quindi puoi anche cancellare il collegamento da lì, o rimettercelo, o spostarlo momentaneamente

AUTOCAD:
Il link che ho messo prima su quella voce dice che serve a ère-caricare delle librerie per rendere il caricamento di Autocad più veloce

Del messenger non so a cosa servano quei link, ma credo che per chi chatta e basta siano inutili.

Ricordo che puoi anche levare tali chiavi e poi ripensarci, basta che conservi HijackThis e i backup che crea automaticamente nella cartella in cui lo estrai
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Er-Gladiatore » 29/12/05 15:48

Questo è il mio Log di Hijackthis anchio uso messanger e come puoi vedere non avendo voci 016 - DPF il mio Messanger 7.5 funziona benissimo:

Logfile of HijackThis v1.99.1
Scan saved at 15.42.09, on 29/12/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\Programmi\GDc++\GDc.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\AntiVir PersonalEdition Classic\AVGNT.EXE
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe

Per chi non lo sapesse il mio è un P4 3.2 Ghz con 1 GB di Ram E in internet viaggio a 6 MB con fastweb).
E' strano. Proprio quando penso di essere andato il più lontano possibile, scopro che posso spingermi ancora oltre.
Er-Gladiatore
Utente Senior
 
Post: 255
Iscritto il: 20/12/05 18:49
Località: Roma

Ciao!

Postdi -Van- » 03/01/06 18:13

Io ho lo stesso problema dell utente che ha fatto il post!
Non ho capito se i file cattivi li devo fixare in modalità normale o provvisoria
cmq questo è il risultato dello scan in modalità normale.

Logfile of HijackThis v1.99.1
Scan saved at 18.12.52, on 03/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\__p9hEPQkbj.exe
C:\WINDOWS\__p9hEPQkbj.exe
C:\Documents and Settings\Administrator\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\__p9hEPQkbj.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\__p9hEPQkbj.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [_WinMain] C:\WINDOWS\winexec.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\__p9hEPQkbj.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2E6BCE0-632F-48F6-8E0C-4979868734D6}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
-Van-
Newbie
 
Post: 9
Iscritto il: 03/01/06 18:09

Postdi Er-Gladiatore » 03/01/06 18:50

Fixa dalla provvisoria questi:

C:\WINDOWS\__p9hEPQkbj.exe
C:\WINDOWS\__p9hEPQkbj.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\__p9hEPQkbj.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\__p9hEPQkbj.exe
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\__p9hEPQkbj.exe

SONO FILE INFETTATI DAL TROJAN !

Fatto questo Riavvia e vedi se riappaiono.

Questi non sono file infetti ma superflui,se vuoi viaggiare in internet + veloce ininternet e caricare con maggiore velocità il tuo Windows FIXA questi:

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmi\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE

Non mi dire che per davvero viaggi senza Antivirus...

Se così fosse fammelo sapere che ti consiglio IO un buon antivirus.

Posta un nuovo Log !
E' strano. Proprio quando penso di essere andato il più lontano possibile, scopro che posso spingermi ancora oltre.
Er-Gladiatore
Utente Senior
 
Post: 255
Iscritto il: 20/12/05 18:49
Località: Roma

Postdi Luke57 » 03/01/06 18:59

Ciao, innanzi tutto metti l'eseguibile di hijackthis in una cartella del disco fisso ad esso dedicata, nè temporanea nè desktop, in modo che il programma possa fare un backup in caso di errori.
A browser chiuso, disconnesso da internet, avvia il programma, cliccando "open the misc tools section", poi "open process manager", cerchi il processo
__p9hEPQkbj.exe
clicchi "kill process", poi premi "back", "scan", cerchi e metti il segno di spunta alle seguenti voci:
C:\WINDOWS\__p9hEPQkbj.exe
C:\WINDOWS\__p9hEPQkbj.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\__p9hEPQkbj.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\__p9hEPQkbj.exe
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\__p9hEPQkbj.exe
O4 - HKLM\..\Run: [_WinMain] C:\WINDOWS\winexec.exe ( è un worm)
Riavvii in modalità provvisoria, rendi visibili file e cartelle nascosti da esplora risorse (strumenti>opzioni cartella>visualizzazione, metti il segno di spunta a "visualizza file e cartelle nascosti"), cerchi ed elimini, se ci sono sempre, i seguenti file:
C:\WINDOWS\__p9hEPQkbj.exe
C:\WINDOWS\winexec.exe
Elimini file temporanei di windows (tmp e temp), di IE, cookies, svuota cestino. Dovresti fare una scansione con antivirus aggiornato, ma sembra che tu non ce l'abbia....posta nuovo log.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Allora!

Postdi -Van- » 04/01/06 14:48

Ho provato i a fare sia il processo consigliato da Gladiatore che quello da Luke 57....il risultato per ora non è migliorato di molto....sono riuscito ad eliminare winexec ma quello tenace _p9Hepq eccc è rimasto !|
Cmq si non ho un antivirus se me ne potete consigliare uno ve ne sarei grato !
Questo è il Log!! HELP ME!!!
Logfile of HijackThis v1.99.1
Scan saved at 14.45.48, on 04/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\__p9hEPQkbj.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\__p9hEPQkbj.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\__p9hEPQkbj.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\__p9hEPQkbj.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SetFirst] omcamuns setfirst
O4 - HKLM\..\Run: [Autolaunch] omcamlch
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\__p9hEPQkbj.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
-Van-
Newbie
 
Post: 9
Iscritto il: 03/01/06 18:09

Postdi Luke57 » 04/01/06 15:23

Segui alla lettera queste operazioni:
disattiva registro configurazione di sistema (Da Start/Pannello di controllo/Sistema/vai sulla scheda "ripristino di configurazione di sistema"/metti la spunta nella casella/Applica/Ok)
Riavvia il sistema in modalità provvisoria
Avvia Hijack e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"
C:\WINDOWS\__p9hEPQkbj.exe
C:\WINDOWS\__p9hEPQkbj.exe
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\__p9hEPQkbj.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\__p9hEPQkbj.exe
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\__p9hEPQkbj.exe
Apri il task manager (Ctrl+Alt+Canc) e se trovi questo processo, selezionalo e clicca su "Termina processo":
__p9hEPQkbj.exe
Trova, dopo aver reso visibili file e cartelle ( apri esplora risorse,strumenti>opzioni cartella>visualizzazione, metti la spunta a "visualizza file e cartelle nascosti, OK) questo file e, se c'è, eliminalo
C:\WINDOWS\__p9hEPQkbj.exe.
Cancella i file temporanei di windows (temp e tmp), quelli di IE, cookies, svuota cestino. Riavvia in modalità normale, riattiva il ripristino configurazione di sistema con la medesima procedura descritta, posta nuovo log.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

...

Postdi -Van- » 04/01/06 16:06

allora ho seguito alla lettera i passagi da te indicati il problema sorge nel momento in cui apro il task manager per terminare il processo, prima di tutto sono due processi col suddetto nome, poi quando tento di terminarlo sparisce e dopo un secondo riappare....!
cmq il log è questo:
Logfile of HijackThis v1.99.1
Scan saved at 16.05.57, on 04/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\__p9hEPQkbj.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\__p9hEPQkbj.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\__p9hEPQkbj.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\__p9hEPQkbj.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SetFirst] omcamuns setfirst
O4 - HKLM\..\Run: [Autolaunch] omcamlch
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\__p9hEPQkbj.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/ ... nicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2E6BCE0-632F-48F6-8E0C-4979868734D6}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
-Van-
Newbie
 
Post: 9
Iscritto il: 03/01/06 18:09

Postdi Dylan666 » 04/01/06 19:39

Da modalità provvisoria quella voce è nel pannello di Ctrl+Alt+Canc? Sicuro? :eeh:
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi -Van- » 04/01/06 19:41

si sicuro!!! =((((
-Van-
Newbie
 
Post: 9
Iscritto il: 03/01/06 18:09

Postdi Dylan666 » 04/01/06 20:10

Non riesci a terminare emtrambi i processi e poi levare le chiavi?
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi -Van- » 04/01/06 22:45

no perche non fai intempo a disattivarlo che riappare!
-Van-
Newbie
 
Post: 9
Iscritto il: 03/01/06 18:09

Postdi Dylan666 » 04/01/06 22:56

Ma tu entri in modalità provvisoria prendo F8 all'avvio del PC? Perché le chiavi da eliminiare e che attualmente avviano il file maligno (di tipo F2 e 04) dovrebbero essere tutte ignorate in tale modalità...
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi Luke57 » 04/01/06 23:46

Prova con hijackthis, apri il programma, clicchi "open the Misc tools Section", poi "open process manager", evidenzi il processo e clicchi "kill process". Fai così per tutti e due i processi. Se trovi difficoltà a eliminare i file, Scarica KILLBOX da qui
http://www.bleepingcomputer.com/files/s ... illBox.zip
- estrailo sul desktop e apri la cartella che lo contiene e quindi avvialo
- Seleziona l'opzione Delete on Reboot . Nello spazio scrivi il percorso del file da eliminare C:\WINDOWS\__p9hEPQkbj.exe e clicchi sulla crocetta rossa.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10

Postdi -Van- » 04/01/06 23:46

sisi ti parlo della modalità provvisoria!
-Van-
Newbie
 
Post: 9
Iscritto il: 03/01/06 18:09

Postdi mrjones » 05/01/06 00:29

Ciao a tutti. Come potete immaginare il problema è lo stesso. Ho scaricato Hijack, ho provato a seguire le istruzioni (quelle di luke 57 in particolare) ma quando su Sistema cerco la scheda "Ripristina configurazione di sistema"...beh, non la trovo.
Qui sotto c'è il Log. Ah, sul desk sui crea un file Exsplorer.
Precedentemente ho eliminato un paio di file sospetti.
Grazie


Logfile of HijackThis v1.99.1
Scan saved at 0.25.39, on 05/01/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\ptsnoop.exe
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMMI\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\GCAC.EXE
C:\PROGRAMMI\YAHOO!\MESSENGER\YPAGER.EXE
C:\PROGRAMMI\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\E_S10IC2.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.repubblica.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.repubblica.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CountrySelection] pctptt.exe
O4 - HKLM\..\Run: [PTSNOOP] ptsnoop.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\Run: [gCac] C:\WINDOWS\gcac.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [avast!] C:\Programmi\Alwil Software\Avast4\ashServ.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRAMMI\YAHOO!\MESSENGER\ypager.exe" -quiet
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMMI\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMMI\YAHOO!\MESSENGER\YPAGER.EXE
mrjones
Newbie
 
Post: 2
Iscritto il: 05/01/06 00:20

Postdi Dylan666 » 05/01/06 00:34

leva le due voci di ptsnoop.exe e pure quelle due di gcac.exe se vedendone le priprietà o cercando su Google non trovi che è sicuro
Avatar utente
Dylan666
Moderatore
 
Post: 39988
Iscritto il: 18/11/03 16:46

Postdi mrjones » 05/01/06 12:39

Grazie Dylan, fatto. Speriamo che vada meglio.
mrjones
Newbie
 
Post: 2
Iscritto il: 05/01/06 00:20

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "Trojan _p9hEPQkbj.exe":

trojan win32/sirefef
Autore: marzianu
Forum: Sicurezza e Privacy
Risposte: 27

Chi c’è in linea

Visitano il forum: Nessuno e 59 ospiti