Condividi:        

AIUTO SONO VITTIMA DI TR/Agent.HooK.A

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

AIUTO SONO VITTIMA DI TR/Agent.HooK.A

Postdi sabrinamel » 19/06/06 18:55

Ciao potete aiutarmi questo Tr mi sta rendendo la vita difficile e purtroppo non sono molto esperta ho scaricato killbox e Hijack perchè ho visto che sul forum veniva consigliato ho fatto uno scan con Hijack ma adesso sono bloccata nel senso che non so cosa fare questo è il risultato di Hijack....siutatemi per favore grazie mille per la disponibilità

Logfile of HijackThis v1.99.1
Scan saved at 19.37.35, on 19/06/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

(Unable to list running processes)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://it.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://it.rd.yahoo.com/customize/ie/def ... .yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://it.rd.yahoo.com/customize/ie/def ... .yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
O1 - Hosts: <HTML><HEAD>
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts: </HEAD><BODY>
O1 - Hosts: <H1>Not Found</H1>
O1 - Hosts: The requested URL /ad/hosts was not found on this server.<P>
O1 - Hosts: </BODY></HTML>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programmi\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [AnyDVD] "C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programmi\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &Cerca con Google - res://c:\programmi\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://c:\programmi\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Link a ritroso - res://c:\programmi\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://c:\programmi\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://c:\programmi\google\GoogleToolbar2.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe (file missing)
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe (file missing)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesit.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra button: Alice - {8CACF2B7-C56A-473F-B5AA-B4DB068B0EB5} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O15 - Trusted Zone: *.energy-factor.com
O15 - Trusted Zone: *.hardcorefantasyland.com
O15 - Trusted Zone: *.hardfootballbabes.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 4056374953
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/house ... hcImpl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AF8866A-66B5-485B-AFC7-28CC4AA1492F}: NameServer = 85.37.17.6 85.38.28.89
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
sabrinamel
Newbie
 
Post: 3
Iscritto il: 19/06/06 18:46

Sponsor
 

Postdi andorra24 » 19/06/06 19:01

Ciao, metti la spunta nella casellina accanto alle seguenti voci e premi fix checked:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
O1 - Hosts: <HTML><HEAD>
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts: </HEAD><BODY>
O1 - Hosts: <H1>Not Found</H1>
O1 - Hosts: The requested URL /ad/hosts was not found on this server.<P>
O1 - Hosts: </BODY></HTML>
O9 - Extra button: Alice - {8CACF2B7-C56A-473F-B5AA-B4DB068B0EB5} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O15 - Trusted Zone: *.energy-factor.com
O15 - Trusted Zone: *.hardcorefantasyland.com
O15 - Trusted Zone: *.hardfootballbabes.com

visualizza cartelle e file nascosti e assicurati di eliminare SERVICES.EXE che sta in C:\WINDOWS (da non confondere con il legittimo processo omonimo collocato in system32).

Fai una scansione con ewido:
http://www.grisoft.cz/softw/70/filedir/ ... .0.172.exe
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi andorra24 » 19/06/06 19:05

Oltre a tutte le voci indicate nel post precedenti devi eliminare con hijackthis anche queste 2:

O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe (file missing)
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe (file missing)
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi sabrinamel » 19/06/06 20:00

andorra24 ha scritto:Oltre a tutte le voci indicate nel post precedenti devi eliminare con hijackthis anche queste 2:

O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe (file missing)
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - C:\WINDOWS\System32\ms.exe (file missing)



_____________________________________________________________

Ho eliminato le voci che mi hai suggerito ma non riesco a trovare in windows il file services.exe trovo services.dll.vir :cry: :cry: sono una frana
sabrinamel
Newbie
 
Post: 3
Iscritto il: 19/06/06 18:46

Postdi andorra24 » 19/06/06 20:14

Luke57 ha scritto:Ciao, per eliminare quella voce dei andare nel registro di sistema:
start>esegui>regedit (lo scrivi nello spazio)>OK
Per sicurezza fai una copia del registro di sistema così:
sull’editor del registro che si apre scegli File>Esporta, assicurati che nella nuova finestra sia selezionata la voce Tutto o tutti i file nell’Intervallo di esportazione, dai un nome al file .reg, tipo “salvataggio registro” e lo salvi nel disco fisso ( ci vorrà qualche minuto, in quanto è un file di almeno 16 MB). In caso di problemi, con un doppio click su tale file, potrà essere ripristinata la situazione del registro prima delle modifiche.
Poi vai alla seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
cliccando sui + accanto alle singole voci, doppio click sulla cartella Winlogon
individui nella finestra di destra USERINIT ed devi eliminare la voce:,C:\WINDOWS\SERVICE.EXE
Non eliminare tutta la chiave, altrimenti il computer non si riavvierà.
Per eliminare la voce infetta:
doppio clic su Userinit, nella finestra “Modifica stringa” che si apre, nello spazio Dati valore troverai evidenziata questa voce:
C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
Devi eliminare
,C:\WINDOWS\SERVICES.EXE (virgola compresa).
Selezioni a questo punto solo la voce da eliminare e scegli Canc, poi OK, chiudere il registro.
Allo stesso modo controllare che la voce non sia presente nella chiave SHELL sempre all’interno della cartella Winlogon. Se alla destra di Shell trovi Explorer.exe da solo, va bene.


Prova ad usare questo procedimento come descritto da Luke57
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi sabrinamel » 19/06/06 22:36

andorra24 ha scritto:
Luke57 ha scritto:Ciao, per eliminare quella voce dei andare nel registro di sistema:
start>esegui>regedit (lo scrivi nello spazio)>OK
Per sicurezza fai una copia del registro di sistema così:
sull’editor del registro che si apre scegli File>Esporta, assicurati che nella nuova finestra sia selezionata la voce Tutto o tutti i file nell’Intervallo di esportazione, dai un nome al file .reg, tipo “salvataggio registro” e lo salvi nel disco fisso ( ci vorrà qualche minuto, in quanto è un file di almeno 16 MB). In caso di problemi, con un doppio click su tale file, potrà essere ripristinata la situazione del registro prima delle modifiche.
Poi vai alla seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
cliccando sui + accanto alle singole voci, doppio click sulla cartella Winlogon
individui nella finestra di destra USERINIT ed devi eliminare la voce:,C:\WINDOWS\SERVICE.EXE
Non eliminare tutta la chiave, altrimenti il computer non si riavvierà.
Per eliminare la voce infetta:
doppio clic su Userinit, nella finestra “Modifica stringa” che si apre, nello spazio Dati valore troverai evidenziata questa voce:
C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
Devi eliminare
,C:\WINDOWS\SERVICES.EXE (virgola compresa).
Selezioni a questo punto solo la voce da eliminare e scegli Canc, poi OK, chiudere il registro.
Allo stesso modo controllare che la voce non sia presente nella chiave SHELL sempre all’interno della cartella Winlogon. Se alla destra di Shell trovi Explorer.exe da solo, va bene.


Prova ad usare questo procedimento come descritto da Luke57


_____________________________________________________________

Sembrerebbe tutto ok adesso grazie mille sei stato la mia salvezza grazie
sabrinamel
Newbie
 
Post: 3
Iscritto il: 19/06/06 18:46

Postdi andorra24 » 19/06/06 23:03

sabrinamel ha scritto:
Sembrerebbe tutto ok adesso grazie mille sei stato la mia salvezza grazie

Bene, mi fa piacere che adesso sia ok. ;)
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi ventus85 » 05/07/06 09:40

Beh, oggi ho scoperto di avere lo stesso problema...Adesso ho impegni inderogabili che si chiamano studiare_per_esame quindi non posso provare a fare quello da voi, provo stasera!
Vorrei sapere cosa provoca la presenza di questo Tr? :cry:
Se non ci riesco vi farò risapere intanto grazie!
Avatar utente
ventus85
Utente Senior
 
Post: 327
Iscritto il: 05/07/06 09:36

Postdi ventus85 » 05/07/06 17:52

andorra24 ha scritto:
Luke57 ha scritto:Ciao, per eliminare quella voce dei andare nel registro di sistema:
start>esegui>regedit (lo scrivi nello spazio)>OK
Per sicurezza fai una copia del registro di sistema così:
sull’editor del registro che si apre scegli File>Esporta, assicurati che nella nuova finestra sia selezionata la voce Tutto o tutti i file nell’Intervallo di esportazione, dai un nome al file .reg, tipo “salvataggio registro” e lo salvi nel disco fisso ( ci vorrà qualche minuto, in quanto è un file di almeno 16 MB). In caso di problemi, con un doppio click su tale file, potrà essere ripristinata la situazione del registro prima delle modifiche.
Poi vai alla seguente chiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
cliccando sui + accanto alle singole voci, doppio click sulla cartella Winlogon
individui nella finestra di destra USERINIT ed devi eliminare la voce:,C:\WINDOWS\SERVICE.EXE
Non eliminare tutta la chiave, altrimenti il computer non si riavvierà.
Per eliminare la voce infetta:
doppio clic su Userinit, nella finestra “Modifica stringa” che si apre, nello spazio Dati valore troverai evidenziata questa voce:
C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
Devi eliminare
,C:\WINDOWS\SERVICES.EXE (virgola compresa).
Selezioni a questo punto solo la voce da eliminare e scegli Canc, poi OK, chiudere il registro.
Allo stesso modo controllare che la voce non sia presente nella chiave SHELL sempre all’interno della cartella Winlogon. Se alla destra di Shell trovi Explorer.exe da solo, va bene.


Prova ad usare questo procedimento come descritto da Luke57



Io ho eseguito queste istruzioni ma quando elimino ,C:\WINDOWS\SERVICE.EXE ,poi OK e chiudo il registro se lo riapro mi rida le stesse voci, cioè non mi salva la modifica nemmeno se faccio aggiorna... Su SHELL invece mi compare giusto.
Cosa devo fare?
Mentre le altre righe da voi scritte (es.
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
O1 - Hosts: <HTML><HEAD>
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts: </HEAD><BODY>
O1 - Hosts: <H1>Not Found</H1>
) cosa sono?
:undecided:
Grazie!
Avatar utente
ventus85
Utente Senior
 
Post: 327
Iscritto il: 05/07/06 09:36

Postdi andorra24 » 05/07/06 17:58

Ventus85 non basarti sui log altrui, posta il tuo log di hijackthis cosi vediamo cosa c'e' che non va.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi ventus85 » 05/07/06 18:25

andorra24 ha scritto:Ventus85 non basarti sui log altrui, posta il tuo log di hijackthis cosi vediamo cosa c'e' che non va.


Si, scusa...hai ragione... :oops:
Ecco:
Logfile of HijackThis v1.99.1
Scan saved at 19.20.08, on 05/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

(Unable to list running processes)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go0ogle.net/search.php?q=poker&aff=16237&saff=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go0ogle.net/search.php?q=poker&aff=16237&saff=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O1 - Hosts: 127.0.0.3 http://www.onedayoffer.biz
O1 - Hosts: 127.0.0.3 onedayoffer.biz
O1 - Hosts: 127.0.0.3 callmachine.net
O1 - Hosts: 127.0.0.3 http://www.callmachine.net
O1 - Hosts: 127.0.0.3 reportbucks.com
O1 - Hosts: 127.0.0.3 http://www.reportbucks.com
O1 - Hosts: 127.0.0.3 isuckall.com
O1 - Hosts: 127.0.0.3 http://www.isuckall.com
O1 - Hosts: 127.0.0.3 wbdialer.biz
O1 - Hosts: 127.0.0.3 http://www.wbdialer.biz
O1 - Hosts: 127.0.0.3 alphadialer.com
O1 - Hosts: 127.0.0.3 http://www.alphadialer.com
O1 - Hosts: 127.0.0.3 it.online-more.com
O1 - Hosts: 127.0.0.3 http://www.it.online-more.com
O1 - Hosts: 127.0.0.3 statscash.net
O1 - Hosts: 127.0.0.3 http://www.statscash.net
O1 - Hosts: 127.0.0.3 85.255.113.242
O1 - Hosts: 127.0.0.3 takeyourbucks.com
O1 - Hosts: 127.0.0.3 http://www.takeyourbucks.com
O1 - Hosts: 127.0.0.3 195.225.176.25
O1 - Hosts: 127.0.0.3 iframebiz.biz
O1 - Hosts: 127.0.0.3 iframeurl.biz
O1 - Hosts: 127.0.0.3 iframesite.biz
O1 - Hosts: 127.0.0.3 toolbarbiz.biz
O1 - Hosts: 127.0.0.3 toolbarsite.biz
O1 - Hosts: 127.0.0.3 toolbarurl.biz
O1 - Hosts: 127.0.0.3 toolbartraff.biz
O1 - Hosts: 127.0.0.3 buytoolbar.biz
O1 - Hosts: 127.0.0.3 http://www.iframebiz.biz
O1 - Hosts: 127.0.0.3 http://www.iframeurl.biz
O1 - Hosts: 127.0.0.3 http://www.iframesite.biz
O1 - Hosts: 127.0.0.3 http://www.toolbarbiz.biz
O1 - Hosts: 127.0.0.3 http://www.toolbarsite.biz
O1 - Hosts: 127.0.0.3 http://www.toolbarurl.biz
O1 - Hosts: 127.0.0.3 http://www.toolbartraff.biz
O1 - Hosts: 127.0.0.3 http://www.buytoolbar.biz
O1 - Hosts: 127.0.0.3 81.9.5.9
O1 - Hosts: 127.0.0.3 n-glx.s-redirect.com
O1 - Hosts: 127.0.0.3 http://www.sexfiles.nu
O1 - Hosts: 127.0.0.3 awmdabest.com
O1 - Hosts: 127.0.0.3 sexfiles.nu
O1 - Hosts: 127.0.0.3 allforadult.com
O1 - Hosts: 127.0.0.3 http://www.allforadult.com
O1 - Hosts: 127.0.0.3 http://www.iframe.biz
O1 - Hosts: 127.0.0.3 iframe.biz
O1 - Hosts: 127.0.0.3 procounter.biz
O1 - Hosts: 127.0.0.3 http://www.procounter.biz
O1 - Hosts: 127.0.0.3 advadmin.biz
O1 - Hosts: 127.0.0.3 http://www.advadmin.biz
O1 - Hosts: 127.0.0.3 trafficbest.net
O1 - Hosts: 127.0.0.3 http://www.trafficbest.net
O1 - Hosts: 127.0.0.3 http://www.newiframe.biz
O1 - Hosts: 127.0.0.3 newiframe.biz
O1 - Hosts: 127.0.0.3 http://www.vesbiz.biz
O1 - Hosts: 127.0.0.3 vesbiz.biz
O1 - Hosts: 127.0.0.3 http://www.pizdato.biz
O1 - Hosts: 127.0.0.3 pizdato.biz
O1 - Hosts: 127.0.0.3 http://www.aaasexypics.com
O1 - Hosts: 127.0.0.3 aaasexypics.com
O1 - Hosts: 127.0.0.3 http://www.virgin-tgp.net
O1 - Hosts: 127.0.0.3 vparivalka.com
O1 - Hosts: 127.0.0.3 http://www.vparivalka.com
O1 - Hosts: 127.0.0.3 iframeprofit.com
O1 - Hosts: 127.0.0.3 http://www.iframeprofit.com
O1 - Hosts: 127.0.0.3 virgin-tgp.net
O1 - Hosts: 127.0.0.3 http://www.awmcash.biz
O1 - Hosts: 127.0.0.3 awmcash.biz
O1 - Hosts: 127.0.0.3 buldog-stats.com
O1 - Hosts: 127.0.0.3 http://www.buldog-stats.com
O1 - Hosts: 127.0.0.3 fregat.drocherway.com
O1 - Hosts: 127.0.0.3 slutmania.biz
O1 - Hosts: 127.0.0.3 http://www.slutmania.biz
O1 - Hosts: 127.0.0.3 toolbarpartner.com
O1 - Hosts: 127.0.0.3 http://www.toolbarpartner.com
O1 - Hosts: 127.0.0.3 http://www.megapornix.com
O1 - Hosts: 127.0.0.3 megapornix.com
O1 - Hosts: 127.0.0.3 http://www.sp2fucked.biz
O1 - Hosts: 127.0.0.3 sp2fucked.biz
O1 - Hosts: 127.0.0.3 greg-tut.com
O1 - Hosts: 127.0.0.3 http://www.greg-tut.com
O1 - Hosts: 127.0.0.3 nylonsexy.com
O1 - Hosts: 127.0.0.3 http://www.nylonsexy.com
O1 - Hosts: 127.0.0.3 topsearch10.com
O1 - Hosts: 127.0.0.3 http://www.topsearch10.com
O1 - Hosts: 127.0.0.3 statscash.biz
O1 - Hosts: 127.0.0.3 http://www.statscash.biz
O1 - Hosts: 127.0.0.3 vxiframe.biz
O1 - Hosts: 127.0.0.3 http://www.vxiframe.biz
O1 - Hosts: 127.0.0.3 crazy-toolbar.com
O1 - Hosts: 127.0.0.3 http://www.crazy-toolbar.com
O1 - Hosts: 127.0.0.3 topcash.biz
O1 - Hosts: 127.0.0.3 http://www.topcash.biz
O1 - Hosts: 127.0.0.3 loadcash.biz
O1 - Hosts: 127.0.0.3 http://www.loadcash.biz
O1 - Hosts: 127.0.0.3 txiframe.biz
O1 - Hosts: 127.0.0.3 http://www.txiframe.biz
O1 - Hosts: 127.0.0.3 besthvac.com
O1 - Hosts: 127.0.0.3 http://www.besthvac.com
O1 - Hosts: 127.0.0.3 traff4.com
O1 - Hosts: 127.0.0.3 http://www.traff4.com
O1 - Hosts: 127.0.0.3 porn-host.org
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programmi\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.otherchance.com
O15 - Trusted Zone: http://www.redfunny.com
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe


Credo proprio che queste siano da eliminare:
O15 - Trusted Zone: http://www.1987324.com
O15 - Trusted Zone: http://www.archiviosex.net
O15 - Trusted Zone: http://www.otherchance.com
O15 - Trusted Zone: http://www.redfunny.com

Per le altre voci non so, ditemi voi...
Ciao e grazie...
Avatar utente
ventus85
Utente Senior
 
Post: 327
Iscritto il: 05/07/06 09:36

Postdi andorra24 » 05/07/06 18:40

Metti la spunta nella casellina accanto alle seguenti voci e premi fix checked:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go0ogle.net/search.php?q=poker&aff=16237&saff=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go0ogle.net/search.php?q=poker&aff=16237&saff=2
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
TUTTE LE VOCI 01
TUTTE LE VOCI 015

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e visualizza cartelle e file nascosti e togli la spunta da ''nascondi i file protetti di sistema (consigliato)''. Scarica killbox da qui:
http://www.bleepingcomputer.com/files/killbox.php

con killbox elimina il seguente file exe:
C:\WINDOWS\SERVICES.EXE

Fai una scansione con ewido:
http://www.ewido.net/en/onlinescan/
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi ventus85 » 05/07/06 18:47

Ok, ci provo...grazie!
Avatar utente
ventus85
Utente Senior
 
Post: 327
Iscritto il: 05/07/06 09:36

Postdi ventus85 » 05/07/06 19:08

Metti la spunta nella casellina accanto alle seguenti voci e premi fix checked:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go0ogle.net/search.php?q=poker&aff=16237&saff=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go0ogle.net/search.php?q=poker&aff=16237&saff=2
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
TUTTE LE VOCI 01
TUTTE LE VOCI 015

Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e visualizza cartelle e file nascosti e togli la spunta da ''nascondi i file protetti di sistema (consigliato)''. Scarica killbox da qui:
http://www.bleepingcomputer.com/files/killbox.php


Fino a qui tutto ok, però poi non ho il file SERVICES.EXE nel percorso C:\WINDOWS\SERVICES.EXE nè in altri...forse è ancora nascosto però la spunta da "nascondi i file protetti di sistema" l'ho tolta...
Bah... :mmmh:
Avatar utente
ventus85
Utente Senior
 
Post: 327
Iscritto il: 05/07/06 09:36

Postdi andorra24 » 05/07/06 19:12

Hai messo anche la spunta su ''visualizza cartelle e file nascosti'' ?
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi ventus85 » 05/07/06 19:22

No, l'avevo visto dopo aver postato il messaggio...
Ok, ora il file me lo dà, cerco di eliminarlo con killbox, mi comincia a fare il count-down per riavviare il sistema ma poi compare la finestra con scritto che quel file non può essere eliminato...
Guardo se c'è qualche cosa che mi impedisce l'eliminazione...
Avatar utente
ventus85
Utente Senior
 
Post: 327
Iscritto il: 05/07/06 09:36

Postdi andorra24 » 05/07/06 19:41

Guarda uno screenshot su come usare killbox:
http://img434.imageshack.us/img434/8624 ... 0018xo.jpg


Se per caso non dovessi riuscire ad eliminare il file con killbox puoi tentare con unlocker:
http://ccollomb.free.fr/unlocker/
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi ventus85 » 05/07/06 19:42

andorra24 ha scritto:Guarda uno screenshot su come usare killbox:
http://img434.imageshack.us/img434/8624 ... 0018xo.jpg


Se per caso non dovessi riuscire ad eliminare il file con killbox puoi tentare con unlocker:
http://ccollomb.free.fr/unlocker/


Ok...male male (speriamo di no! :roll: ) ti faccio risapere....ciao! E grazie mille!
Avatar utente
ventus85
Utente Senior
 
Post: 327
Iscritto il: 05/07/06 09:36

Postdi ventus85 » 05/07/06 20:14

Adesso sembra vada tutto ok... :) grazie! :)
Avatar utente
ventus85
Utente Senior
 
Post: 327
Iscritto il: 05/07/06 09:36

Postdi andorra24 » 05/07/06 20:22

ventus85 ha scritto:Adesso sembra vada tutto ok... :) grazie! :)

Bene, mi fa piacere. :)
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo


Torna a Sicurezza e Privacy


Topic correlati a "AIUTO SONO VITTIMA DI TR/Agent.HooK.A":

aiuto windows 10
Autore: mod360
Forum: Software Windows
Risposte: 1
aiuto installazione
Autore: mod360
Forum: Software Windows
Risposte: 3

Chi c’è in linea

Visitano il forum: Nessuno e 71 ospiti