Condividi:        

Scansione con HijackThis - Aiutoooh!

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Scansione con HijackThis - Aiutoooh!

Postdi rossobordeaux » 20/10/06 00:13

Ho il sospetto che ci siano molte cose fuori posto.
Potreste dare uno sguardo a questo logfile, per cortesia?

Logfile of HijackThis v1.99.1
Scan saved at 1.10.33, on 20/10/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Avast AntiVirus\aswUpdSv.exe
C:\Programmi\Avast AntiVirus\ashServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programmi\Ahead\InCD\InCDsrv.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programmi\Analog Devices\SoundMAX\Smax4.exe
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programmi\Ahead\InCD\InCD.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Logitech\Video\LogiTray.exe
C:\PROGRA~1\AVASTA~1\ashDisp.exe
C:\PROGRAMMI\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Logitech\Video\FxSvr2.exe
C:\Programmi\Uhp Clean\uphclean.exe
C:\Programmi\Avast AntiVirus\ashMaiSv.exe
C:\Programmi\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programmi\Netropa\Onscreen Display\OSD.exe
C:\Programmi\Avast AntiVirus\ashWebSv.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
C:\Programmi\Setups\Hijack This Setup\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tim.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [WheelMouse] C:\WHEELM~1\wh_exec.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [InCD] C:\Programmi\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\AVASTA~1\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAMMI\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programmi\Logitech\Video\ManifestEngine.exe boot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/do ... se7617.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0220405515
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Avast AntiVirus\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Avast AntiVirus\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programmi\Avast AntiVirus\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programmi\Avast AntiVirus\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programmi\Ahead\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\File comuni\PCSuite\Services\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe


Grazie infinite!!!
rossobordeaux
Utente Junior
 
Post: 42
Iscritto il: 19/10/06 23:56
Località: Napoli

Sponsor
 

Postdi andorra24 » 20/10/06 01:30

Ciao, il tuo log e' pulito e non emerge nulla di negativo.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi rossobordeaux » 20/10/06 08:25

grazie mille.
tiro un sospiro di sollievo.
sapresti dirmi cosa sono i file missing fra parentesi? li posso fixare o meglio lasciare così?
rossobordeaux
Utente Junior
 
Post: 42
Iscritto il: 19/10/06 23:56
Località: Napoli

Postdi rossobordeaux » 20/10/06 08:43

il fatto è che in document e settings oltre alla cartella di all users e di utente compare sempre una cartella con un nome strano; la elimino ma ogni volta salta fuori.
sapresti dirmi a cosa è dovuto visto che il mio logfile sembra pulito?
rossobordeaux
Utente Junior
 
Post: 42
Iscritto il: 19/10/06 23:56
Località: Napoli

Postdi andorra24 » 20/10/06 10:17

rossobordeaux ha scritto:grazie mille.
tiro un sospiro di sollievo.
sapresti dirmi cosa sono i file missing fra parentesi? li posso fixare o meglio lasciare così?

Non fixarli, vanno bene cosi.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi andorra24 » 20/10/06 10:20

rossobordeaux ha scritto:il fatto è che in document e settings oltre alla cartella di all users e di utente compare sempre una cartella con un nome strano; la elimino ma ogni volta salta fuori.
sapresti dirmi a cosa è dovuto visto che il mio logfile sembra pulito?

Questa cosa mi insospettisce parecchio e mi fa pensare al linkoptimizer. Strano pero' perche' nel tuo log non c'e' nessuna traccia di questo malware.
Prova ad usare i 2 tools di rimozione.

Usa per primo il tool di rimozione della symantec:
http://securityresponse.symantec.com/av ... inkopt.exe
L´esito viene salvato nel file FixLinkopt.log
Incolla il report in un post.

Scarica anche questo tool di rimozione:
http://info.prevx.com/download.asp?grab=GROMOZONREMTOOL
disattiva momentaneamente l'antivirus, con i programmi e applicazioni chiusi, esegui il tool.
Al riavvio del computer, il programma terminerà la scansione nelle restanti cartelle di windows. Al termine della scansione sarà rilasciato un report in C:\Gromzon_Removal.log.
Posta il report sul forum.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi rossobordeaux » 20/10/06 11:37

in realtà penso anche io che si tratti del linkoptimizer anche perchè i link che mi hai appena dato non me li fa vedere.
è una conseguenza?
c'è un altro modo per scaricare i programmi che mi hai detto?
grazie.
rossobordeaux
Utente Junior
 
Post: 42
Iscritto il: 19/10/06 23:56
Località: Napoli

Postdi rossobordeaux » 20/10/06 11:41

cmq in installazione applicazioni non c'e' nulla di sospetto, ho verificato.
rossobordeaux
Utente Junior
 
Post: 42
Iscritto il: 19/10/06 23:56
Località: Napoli

Postdi andorra24 » 20/10/06 11:49

I 2 tools di rimozione vedi se puoi scaricarli da questo upload:

http://www.mytempdir.com/988986
http://www.mytempdir.com/1003691


Se non dovessi riuscirci allora fai una scansione con VirIT in modalita' provvisoria dopo averlo aggiornato:
http://www.tgsoft.it/files/vnlt6125.exe
Al termine della scansione riprova nuovamente ad usare i 2 tools di rimozione.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi rossobordeaux » 20/10/06 11:53

grazie mille.
vedo subito.
rossobordeaux
Utente Junior
 
Post: 42
Iscritto il: 19/10/06 23:56
Località: Napoli

Postdi rossobordeaux » 20/10/06 13:15

Symantec Trojan.Linkoptimizer Removal Tool 1.0.8
Trojan.Linkoptimizer has not been found on your computer.

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components

credo di aver risolto, anche se i due removal non mi hanno trovato nulla; quello della Symantec già lo conoscevo, infatti avevo conservato il setup, forse lo avro' usato in passato.
Cmq cosa strana, dopo aver usato il removal Symantec tutto ha già iniziato a funzionare alla perfezione; avrà comunque riparato qualcosa anche se non ha trovato il trojan.
la cartella sospetta resta però in document and settings,anche dopo averla rimossa manualmente, ritorna; è un problema?
per il resto anche alcune applicazioni che non partivano ora vanno bene.
prima avevo il norton ma mi sa che il trojan aveva alterato anche le chiavi di registro del norton rendendomelo inutilizzabile; alla fine l'ho rimosso, ora ho avast.
me lo consigli? mantengo avast o torno al norton?
rossobordeaux
Utente Junior
 
Post: 42
Iscritto il: 19/10/06 23:56
Località: Napoli

Postdi andorra24 » 20/10/06 13:19

Per ulteriore sicurezza fammi fare un controllo con gmer:

Scarica Gmer :
http://www.gmer.net/gmer.zip
(se non funziona il link di sopra prova questo link:
http://www.suspectfile.com/upload/files/tools/gmer.zip )

Dopo averlo scompattato, lo avvii, selezioni "Rootkit" nella tabella dei Menu
Clicca su "Scan"
Attendi la fine della scansione e clicca su "Copy"
Apri il block notes di windows, clicca su modifica e seleziona incolla

Poi fai una scansione con GMer dalla posizione Autostart, con le stesse procedure del precedente. Incolli il log generato nel suddetto block notes e poi incolli i due log in un post nel forum.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi rossobordeaux » 20/10/06 13:22

ora controllo.
ah... dimenticavo di dirti che ora tutti i link funzionano benissimo.
rossobordeaux
Utente Junior
 
Post: 42
Iscritto il: 19/10/06 23:56
Località: Napoli

Postdi rossobordeaux » 20/10/06 13:54

devo spuntare sia ads che show all o solo ads?

n.b. mi stai aiutando tantissimo. grazie davvero!!!
rossobordeaux
Utente Junior
 
Post: 42
Iscritto il: 19/10/06 23:56
Località: Napoli

Postdi andorra24 » 20/10/06 14:00

Spunta ADS.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

ecco qua:

Postdi rossobordeaux » 20/10/06 14:26

GMER 1.0.11.11390 - http://www.gmer.net
Rootkit 2006-10-20 15:13:21
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.11 ----

SSDT \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys ZwUnloadKey
questo è probabilmente un file di un programma microsof installato tempo fa
per velocizzare la chiusura di xp. (forse è questo che crea la cartella in doc and sett?)

---- Files - GMER 1.0.11 ----



---- EOF - GMER 1.0.11 ----


GMER 1.0.11.11390 - http://www.gmer.net
Autostart 2006-10-20 15:20:57
Windows 5.1.2600 Service Pack 2


HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems@Windows = %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon@Userinit = C:\WINDOWS\system32\userinit.exe,

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ >>>
AtiExtEvent@DLLName = Ati2evxx.dll
WgaLogon@DLLName = WgaLogon.dll

HKLM\SYSTEM\CurrentControlSet\Services\ >>>
aswUpdSv /*avast! iAVS4 Control Service*/@ = "C:\Programmi\Avast AntiVirus\aswUpdSv.exe"
Ati HotKey Poller@ = %SystemRoot%\System32\Ati2evxx.exe
ATI Smart /*ATI Smart*/@ = C:\WINDOWS\system32\ati2sgag.exe
avast! Antivirus /*avast! Antivirus*/@ = "C:\Programmi\Avast AntiVirus\ashServ.exe"
avast! Mail Scanner /*avast! Mail Scanner*/@ = "C:\Programmi\Avast AntiVirus\ashMaiSv.exe" /service
avast! Web Scanner /*avast! Web Scanner*/@ = "C:\Programmi\Avast AntiVirus\ashWebSv.exe" /service
cisvc /*Servizio di indicizzazione*/@ = %SystemRoot%\system32\cisvc.exe
IISADMIN /*Amministrazione di IIS*/@ = C:\WINDOWS\System32\inetsrv\inetinfo.exe
InCDsrv /*InCD Helper*/@ = C:\Programmi\Ahead\InCD\InCDsrv.exe
MSFtpsvc /*Pubblicazione FTP*/@ = %SystemRoot%\System32\inetsrv\inetinfo.exe
MSMQ /*Message Queuing*/@ = C:\WINDOWS\System32\mqsvc.exe
MSMQTriggers /*Message Queuing Triggers*/@ = C:\WINDOWS\System32\mqtgsvc.exe
nhksrv /*Netropa NHK Server*/@ = C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
ScsiPort@ = %SystemRoot%\system32\drivers\scsiport.sys
SimpTcp /*Servizi semplici TCP/IP*/@ = %SystemRoot%\System32\tcpsvcs.exe
SMTPSVC /*Protocollo SMTP (Simple Mail Transfer Protocol)*/@ = C:\WINDOWS\System32\inetsrv\inetinfo.exe
SoundMAX Agent Service (default) /*SoundMAX Agent Service*/@ = C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
Spooler /*Spooler di stampa*/@ = %SystemRoot%\system32\spoolsv.exe
UMWdf /*Windows User Mode Driver Framework*/@ = C:\WINDOWS\system32\wdfmgr.exe
UPHClean /*User Profile Hive Cleanup*/@ = C:\Programmi\Uhp Clean\uphclean.exe
W3SVC /*Pubblicazione sul Web*/@ = %SystemRoot%\System32\inetsrv\inetinfo.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run >>>
@WheelMouseC:\WHEELM~1\wh_exec.exe = C:\WHEELM~1\wh_exec.exe
@SplashDisplayerC:\WINDOWS\System32\ISTHTB.EXE = C:\WINDOWS\System32\ISTHTB.EXE
@SoundMAXPnPC:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe = C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
@SoundMAX"C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray = "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
@MULTIMEDIA KEYBOARDC:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe = C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
@MsmqIntCertregsvr32 /s mqrt.dll = regsvr32 /s mqrt.dll
@ISUSPM StartupC:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup = C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
@ISUSScheduler"C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start = "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
@InCDC:\Programmi\Ahead\InCD\InCD.exe = C:\Programmi\Ahead\InCD\InCD.exe
@QuickTime Task"C:\Programmi\QuickTime\qttask.exe" -atboottime = "C:\Programmi\QuickTime\qttask.exe" -atboottime
@LVCOMSXC:\WINDOWS\system32\LVCOMSX.EXE = C:\WINDOWS\system32\LVCOMSX.EXE
@LogitechVideoRepairC:\Programmi\Logitech\Video\ISStart.exe = C:\Programmi\Logitech\Video\ISStart.exe
@LogitechVideoTrayC:\Programmi\Logitech\Video\LogiTray.exe = C:\Programmi\Logitech\Video\LogiTray.exe
@avast!C:\PROGRA~1\AVASTA~1\ashDisp.exe = C:\PROGRA~1\AVASTA~1\ashDisp.exe
@ATIPTAC:\PROGRAMMI\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE = C:\PROGRAMMI\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
RunOnce@WIAWizardMenu = RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu

HKCU\Software\Microsoft\Windows\CurrentVersion\Run >>>
@CTFMON.EXEC:\WINDOWS\system32\ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe
@msnmsgr"C:\Programmi\MSN Messenger\msnmsgr.exe" /background = "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
@LogitechSoftwareUpdateC:\Programmi\Logitech\Video\ManifestEngine.exe boot = C:\Programmi\Logitech\Video\ManifestEngine.exe boot

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad@UPnPMonitor = C:\WINDOWS\system32\upnpui.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved >>>
@{5a61f7a0-cde1-11cf-9113-00aa00425c62} /*IIS Shell Extension*/C:\WINDOWS\System32\inetsrv\w3ext.dll = C:\WINDOWS\System32\inetsrv\w3ext.dll
@{e57ce731-33e8-4c51-8354-bb4de9d215d1} /*Periferiche Plug and Play universali*/C:\WINDOWS\system32\upnpui.dll = C:\WINDOWS\system32\upnpui.dll
@{E0D79304-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79305-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79306-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{E0D79307-84BE-11CE-9641-444553540000} /*WinZip*/C:\PROGRA~1\WINZIP\WZSHLSTB.DLL = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
@{596AB062-B4D2-4215-9F74-E9109B0A8153} /*Previous Versions Property Page*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll
@{9DB7A13C-F208-4981-8353-73CC61AE2783} /*Previous Versions*/C:\WINDOWS\System32\twext.dll = C:\WINDOWS\System32\twext.dll
@{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} /*Autoplay for SlideShow*/(null) =
@{59850401-6664-101B-B21C-00AA004BA90B} /*Microsoft Office Binder Unbind*/C:\PROGRA~1\MICROS~3\Office\1040\UNBIND.DLL = C:\PROGRA~1\MICROS~3\Office\1040\UNBIND.DLL
@{42071714-76d4-11d1-8b24-00a0c9068ff3} /*Estensione panoramica video del Pannello di controllo*/(null) =
@{32683183-48a0-441b-a342-7c2a440a9478} /*Media Band*/(null) =
@{692F0339-CBAA-47e6-B5B5-3B84DB604E87} /*Extensions Manager Folder*/C:\WINDOWS\System32\extmgr.dll = C:\WINDOWS\System32\extmgr.dll
@{e82a2d71-5b2f-43a0-97b8-81be15854de8} /*ShellLink for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} /*Shell Icon Handler for Application References*/C:\WINDOWS\system32\dfshim.dll = C:\WINDOWS\system32\dfshim.dll
@{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} /*iTunes*/C:\Programmi\iTunes\iTunesMiniPlayer.dll = C:\Programmi\iTunes\iTunesMiniPlayer.dll
@{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} /*Adobe.Acrobat.ContextMenu*/C:\Programmi\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll = C:\Programmi\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll
@{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3} /*Immagini Logitech*/C:\Programmi\Logitech\Video\Namespc2.dll = C:\Programmi\Logitech\Video\Namespc2.dll
@{472083B0-C522-11CF-8763-00608CC02F24} /*avast*/C:\Programmi\Avast AntiVirus\ashShell.dll = C:\Programmi\Avast AntiVirus\ashShell.dll
@{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A} /*PhoneBrowser*/C:\Programmi\Nokia\Nokia PC Suite 6\PhoneBrowser.dll = C:\Programmi\Nokia\Nokia PC Suite 6\PhoneBrowser.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved@{BDEADF00-C265-11d0-BCED-00A0C90AB50F} /*Cartelle Web*/ = C:\PROGRA~1\FILECO~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ >>>
Adobe.Acrobat.ContextMenu@{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802} = C:\Programmi\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Avast AntiVirus\ashShell.dll
CuteFTP@{8f7261d0-d2b9-11d2-9909-00605205b24c} = C:\PROGRA~1\Cute FTP\CuteShell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ >>>
CuteFTP@{8f7261d0-d2b9-11d2-9909-00605205b24c} = C:\PROGRA~1\Cute FTP\CuteShell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ >>>
avast@{472083B0-C522-11CF-8763-00608CC02F24} = C:\Programmi\Avast AntiVirus\ashShell.dll
WinRAR@{B41DB860-8EE4-11D2-9906-E49FADC173CA} = C:\Programmi\WinRAR\rarext.dll
WinZip@{E0D79304-84BE-11CE-9641-444553540000} = C:\PROGRA~1\WINZIP\WZSHLSTB.DLL

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>>
@{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll = C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
@{53707962-6F74-2D53-2644-206D7942484F}C:\PROGRA~1\SPYBOT~1\SDHelper.dll = C:\PROGRA~1\SPYBOT~1\SDHelper.dll
@{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll = C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
@{AE7CD045-E861-484f-8273-0445EE161910}C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll = C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

HKLM\Software\Microsoft\Internet Explorer\Main >>>
@Default_Page_URLhttp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
@Start Pagehttp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
@Local Page%SystemRoot%\system32\blank.htm = %SystemRoot%\system32\blank.htm

HKCU\Software\Microsoft\Internet Explorer\Main >>>
@Start Pagehttp://www.tim.it/ = http://www.tim.it/
@Local PageC:\WINDOWS\system32\blank.htm = C:\WINDOWS\system32\blank.htm

HKLM\Software\Classes\PROTOCOLS\Handler\ >>>
dvd@CLSID = C:\WINDOWS\system32\msvidctl.dll
its@CLSID = C:\WINDOWS\System32\itss.dll
mhtml@CLSID = %SystemRoot%\System32\inetcomm.dll
ms-its@CLSID = C:\WINDOWS\System32\itss.dll
msnim@CLSID = "C:\PROGRA~1\MSNMES~1\msgrapp.dll"
tv@CLSID = C:\WINDOWS\system32\msvidctl.dll
wia@CLSID = C:\WINDOWS\System32\wiascr.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ >>>
000000000005@LibraryPath = C:\WINDOWS\system32\pnrpnsp.dll

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006@LibraryPath = C:\WINDOWS\system32\pnrpnsp.dll

---- EOF - GMER 1.0.11 ----
rossobordeaux
Utente Junior
 
Post: 42
Iscritto il: 19/10/06 23:56
Località: Napoli

Postdi andorra24 » 20/10/06 14:45

Anche il log di gmer e' pulito e non vedo nessuna traccia di linkoptimizer. Anche i 2 tools di rimozione non ti hanno trovato nulla.

1) Controlla nel pannello di controllo/installazione applicazioni se hai le seguenti voci: linkoptimizer e/o connection services. Se le trovi non toccare nulla, fammelo sapere e basta.

2) Start>esegui>control userpasswords2 (lo scrivi nello spazio bianco)>OK

Nella finestra Account utente, controlla se c'e' un'utenza sospetta con nome strano (oltre le consuete Administrator, Utente, Aspnet). Se c'e' questa utenza dal nome molto strano eliminala (click con il destro e scegli elimina).

3) Fammi sapere il nome preciso della cartella che ti appare in C:\Documents and Settings e che non riesci ad eliminare.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Postdi rossobordeaux » 20/10/06 19:36

grazie.
allora ho un bel po' di cosette; utente e administrator come administrators, poi ho delle voci guest, aspnet come users e poi il nome gXkuIM, che è anche il nome della cartella incriminata, come administrators.
mi sa che devo fare un pò di pulizia, giusto?
lascio solo utente e administrator?
ho solo una identità sul pc, utente appunto.
che faccio?
rossobordeaux
Utente Junior
 
Post: 42
Iscritto il: 19/10/06 23:56
Località: Napoli

Postdi rossobordeaux » 20/10/06 19:41

in installazioni applicazioni non ho nulla. scusa se ti chiedo sempre cosa fare ma non vorrei far danni eliminando qlc che non va eliminata.
rossobordeaux
Utente Junior
 
Post: 42
Iscritto il: 19/10/06 23:56
Località: Napoli

Postdi andorra24 » 20/10/06 19:45

Elimina l'utenza gXkuIM e poi elimina la relativa cartella in C:\Documents and Settings.
andorra24
Utente Senior
 
Post: 2742
Iscritto il: 21/05/06 15:44
Località: Palermo

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "Scansione con HijackThis - Aiutoooh!":


Chi c’è in linea

Visitano il forum: Nessuno e 63 ospiti