Home News Guide Hardware Download Forum Glossario

Condividi:        

Logfile of HijackThis

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Regole del forum
Rispondi al post

Logfile of HijackThis

Postdi balboa » 04/12/06 15:52

Logfile of HijackThis v1.99.1
Scan saved at 15.50.39, on 04/12/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Eset\nod32krn.exe
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\service32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programmi\MessengerPlus! 3\MsgPlus.exe
C:\Programmi\Microsoft IntelliType Pro\type32.exe
C:\Programmi\Microsoft IntelliPoint\point32.exe
C:\Programmi\Eset\nod32kui.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\Temp\qgst2.exe
C:\PROGRA~2\PRESTO~1\PRESTO~1.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
C:\Documents and Settings\arturo\Documenti\ivano\hijackThis\HijackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Class - {C95046CF-361D-EA9C-08D9-13879C08872E} - C:\WINDOWS\cfdkq1.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programmi\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [type32] "C:\Programmi\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programmi\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice
O4 - HKLM\..\Run: [nod32kui] C:\Programmi\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [qgst2.exe] C:\WINDOWS\Temp\qgst2.exe
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Programmi\BlazeVideo\BlazeDVD 4 Professional\MediaDetector.exe"
O4 - HKCU\..\Run: [PrestoNotes] C:\PROGRA~2\PRESTO~1\PRESTO~1.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmi\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\Programmi\Agnitum\Outpost Firewall\TRASH.EXE (HKCU)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://fomentailvicino.spaces.msn.com// ... nPUpld.cab
O16 - DPF: {6C0CC60F-B9ED-4C4C-94F7-6A06718E9B4E} - http://idkqzshcjxr.com/4f95bacb/10527/1 ... Chicks.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZI ... b32846.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game07.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylo ... loader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.gamenext.nl/online2/zuma/popcaploader_v5.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b31267.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol ... _en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3B2BD36-9825-4569-9875-313BDC9675BF}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
balboa
Newbie
 
Post: 7
Iscritto il: 28/08/06 17:10
Top
Sponsor
 

Postdi Luke57 » 04/12/06 20:30

Ciao, esegui questa procedura:
Vai su start/risorse del computer/strumenti/opzioni cartella/visualizzazione e metti la spunta su visualizza cartelle file nascosti e togli la spunta da ''nascondi i file protetti di sistema (consigliato)''.

Apri il taskmanager (Alt+Ctrl+Canc), nella colonna Processi cerchi
Service32.exe
Se lo individui, lo evidenzi e premi Termina processo (se non lo trovi vai avanti lo stesso)

Da START\ESEGUI digita regedit >OK
Aperto l’editor del registro, ciccando sul segno + accanto alle singole voci, segui questo percorso:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ , click sulla cartella Run , sulla parte destra dovresti trovare:

1 = C:\WINDOWS\service32.exe
(cancellala con click tasto dx e scegli Elimina)

Portati inoltre alla voce:
HKEY_LOCAL_MACHINE\SOFTWARE\
e cancella la chiave: 9F65E3H10M
(questa chiave è variabile.... ad esempio: 9P78Q3B10L, ma non e' detto che ci sia per forza)

Scarica KillBox
http://www.killbox.net/downloads/KillBox.exe
estrai l'eseguibile sul desktop
Apri KillBox
inserisci all'interno della stringa bianca questo percorso
C:\WINDOWS\service32.exe
metti la spunta alla voce "Delete on Reboot", clicca sul bottone con una X bianca a sfondo rosso (il computer si riavvierà).

Dopo aver eliminato il file service32.exe , controlla se hai anche qualcuno dei seguenti files e se ne trovi eliminali senza pietà:

C:\WINDOWS\sys32exploer.dll
C:\WINDOWS\syst32.dll
C:\WINDOWS\syshost.dll
C:\WINDOWS\mdm32.dll
C:\WINDOWS\winsmgr32.dll
C:\WINDOWS\iexplore32.dll
C:\WINDOWS\spoolvs32.dll
C:\WINDOWS\623958248.exe o altro numero
C:\WINDOWS\iexplorre32.dll
C:\WINDOWS\lsas32.dll
C:\WINDOWS\svchost32.dll
C:\WINDOWS\sys32exploer.dll
C:\WINDOWS\winsyst32.exe
C\WINDOWS\scrss32.dll

Infine, elimina tutti i files temp di windows e di IE. Puoi farlo con ATF Cleaner:
scarica ATF Cleaner da qui:
http://www.atribune.org/ccount/click.php?id=1
Avvia ATF cleaner, clicca sul menu "main" e poi seleziona la casella "Select All". Adesso clicca sul pulsante "Empty selected" e aspetta il messaggio "Done Cleaning!"

Poi vai qui:
http://www.pc-facile.com/forum/viewtopic.php?t=49816
scarica questi due tools.
Eseguili uno alla volta; disattiva il tuo antivirus durante la scansione.

Quello della prevx fa riavviare il computer e al riavvio viene eseguita la scansione, al termine della quale viene rilasciato un report che trovi in C:\Gromozon_Removal.log.

Poi esegui il tool della symantec (dalla modalità provvisoria; se
non sai come andarci, premi ripetutamente il tasto F8 all'accensione del computer prima che inizi a caricarsi windows; sulla schermata grigia che appare scegli modalità provvisoria spostandoti con le freccette e premendo invio).

Anche questo tool rilascia un rapporto della scansione nella cartella dove
hai messo il file (Fixlinkopt.log)

Posta i report delle scansioni dei due tools.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10
Top

Postdi balboa » 11/12/06 00:15

Ciao Luke scusa il ritardo della mia risposta.
Ho seguito le tue indicazioni alla lettera ma ci sono dei però:
In HKEY_LOCAL_MACHINE/SOFTWARE non ho trovato la chiave che dicevi tu, ma ce ne sono due che sono accozzaglia tra numeri e cifre ma che per sicurezza non ho cancellato e sono:
45CHL7AM1J
73KLT90N2H

Di tutti i file che mi hai detto di cancellare nel caso in cui li avessi trovati, avevo solo iexplore32.dll che il NOD32 me l'ha anche riconosciuto come virus, ma che ho cancellato senza problemi con killbox.
Il vero problema, però, è che non mi si apre nessuno dei due link che mi avevi segnalato alla fine del messaggio. Cliccandoci sopra, infatti, explorer mi dice che è -impossibile visualizzare la pagina-.
Cosa fare ora?
Attendo tue notizie, ancora grazie. Ciao
balboa
Newbie
 
Post: 7
Iscritto il: 28/08/06 17:10
Top

Postdi Luke57 » 11/12/06 09:10

Ciao, prova questo link alternativo, il tool n.1 è della prevx, il n.2 della symantec
http://www.mytempdir.com/1035021
Quelle due voci di registro eliminale.
Luke57
Moderatore
 
Post: 6415
Iscritto il: 11/08/05 19:10
Top

Postdi balboa » 14/12/06 19:29

Ciao Luke, ancora brutte notizie. Anche il secondo link che mi hai dato, infatti, non è valido in quanto mi si apre un pagina con un paio di pubblicità e la scritta

The file is temporary unavailable, please try again later.

Naturalmente ho provato più volte nella giornata e non va comunque.
balboa
Newbie
 
Post: 7
Iscritto il: 28/08/06 17:10
Top
Rispondi al post

Torna a Sicurezza e Privacy


Topic correlati a "Logfile of HijackThis":

HiJackThis è ancora un programma valido?
Autore: nippon 		Forum: Software Windows
Risposte: 4
Aggiornare logfile su dominio web
Autore: Anthony47 		Forum: Programmazione
Risposte: 5
reindirizzo su pagina hijackthis.de
Autore: CLAUDIO_PA 		Forum: Sicurezza e Privacy
Risposte: 2
Analisi log HijackThis
Autore: Sanko 		Forum: Sicurezza e Privacy
Risposte: 4
Pc lento e Hijackthis
Autore: Flopez 		Forum: Assistenza Hardware
Risposte: 3

Chi c’è in linea

Visitano il forum: Nessuno e 53 ospiti