Home News Guide Hardware Download Forum Glossario

Condividi:        

HAXDOOR ?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Regole del forum
Rispondi al post

HAXDOOR ?

Postdi Nicla72 » 03/09/07 19:30

Salve, ragazzi. Sono qui a chiedere il vostro aiuto.
Ultimamente il computer mi si spegne e riaccende in continuazione, oppure si blocca, soprattutto quando giro su youtube...
Dalle ricerche che ho fatto in internet sembrerebbe trattarsi di un problema di software ma, poiché da un messaggio di errore si potrebbe anche rilevare la presenza di HAXDOOR, vorrei assicurarmi che non si tratti di un virus.
Mi date una mano ?

Qui il log:

Logfile of HijackThis v1.99.1
Scan saved at 20.00.54, on 03/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\VEXPLITE\viritsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Trust\CnxDslTb.exe
C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\VIAudioi\SBADeck\ADeck.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\FAMIGLIA\Desktop\anti_tutto\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programmi\FreshDevices\FreshDownload\fdcatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: FreshDownload Bar - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - C:\Programmi\FreshDevices\FreshDownload\fdiebar.dll
O4 - HKLM\..\Run: [trustras] trustras.exe
O4 - HKLM\..\Run: [CnxDslTaskBar] C:\Programmi\Trust\CnxDslTb.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programmi\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [VIRIT LITE MONITOR] C:\VEXPLITE\MONLITE.EXE
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AudioDeck] C:\Programmi\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FreshDownload - {CED59A9A-ABE5-4419-A388-43EE8D7804B4} - C:\Programmi\FreshDevices\FreshDownload\fd.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF:
â‘|ðá -
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc ... oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan ... asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programmi\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CDH - Unknown owner - C:\DOCUME~1\FAMIGLIA\IMPOST~1\Temp\CDH.exe (file missing)
O23 - Service: STLHHBP - Sysinternals - http://www.sysinternals.com - C:\DOCUME~1\FAMIGLIA\IMPOST~1\Temp\STLHHBP.exe
O23 - Service: Virit eXplorer Lite (viritsvclite) - TG Soft Sas http://www.tgsoft.it - C:\VEXPLITE\viritsvc.exe



Grazie in anticipo ! :)
Nicla72
Newbie
 
Post: 8
Iscritto il: 29/08/06 20:15
Top
Sponsor
 

Postdi Mikele46 » 04/09/07 11:42

fixa queste voci con hijack...poi in modalità provvisoria (F8 all'avvio del pc) elimina i file .exe


O16 - DPF:


â‘|ðá -


O23 - Service: CDH - Unknown owner - C:\DOCUME~1\FAMIGLIA\IMPOST~1\Temp\CDH.exe (file missing)


O23 - Service: STLHHBP - Sysinternals - http://www.sysinternals.com - C:\DOCUME~1\FAMIGLIA\IMPOST~1\Temp\STLHHBP.exe


poi dai un'occhiata qui (dove troverai informazione sulle chiavi di registro e i file creati dal virus)

http://www.avira.com/it/threats/section ... or.lf.html


comunque ho notato che questo virus è conosciuto da molti anti-virus...tu quale hai?è aggiornato???


P.S per entrare nel registro di sistema vai strat>esegui>(scrivi)regedit...è sempre consigliabile fare una copia di backup prima di "toccare" il registro...
Immagine
Avatar utente
Mikele46
Utente Senior
 
Post: 521
Iscritto il: 20/08/06 15:16
Località: Napoli
Top

Postdi Mikele46 » 04/09/07 11:44

scuami ho trovato un'altra cosa su google...prova questo tool della symantec prima di fare le operazioni del topic che ho inserito prima...nel caso non vada bene...poi passa ad hijack ;) ;)
Immagine
Avatar utente
Mikele46
Utente Senior
 
Post: 521
Iscritto il: 20/08/06 15:16
Località: Napoli
Top

Postdi Mikele46 » 04/09/07 11:45

ho dimenticato il link :D :D :D :D scusami tanto.... :oops:


http://www.symantec.com/security_respon ... 09-2557-99
Immagine
Avatar utente
Mikele46
Utente Senior
 
Post: 521
Iscritto il: 20/08/06 15:16
Località: Napoli
Top

Postdi Nicla72 » 04/09/07 20:46

Grazie per la tua risposta !

Ho provato il tool di rimozione ma purtroppo non ha rilevato la presenza del malware Haxdoor...
A questo punto mi preoccupo...
In un messaggio di errore di Windows si faceva riferimento a un non ben identificato:

win32K.sys
PAGE_FAULT_IN_NONPAGED_AREA
STOP: 0x00000050
win32K.sys_Address BF852289 base at BF800000, Datestamp 45f013f6

che tradiva la presenza di HAXDOOR...

O è una nuova variante (dal poco che ho trovato in rete sembra quasi agire come un nuovo LinkOptimizer... AIUTO !!! :aaah ) o il mio è davvero un problema di driver o di hardware.
In questo caso sarebbe anche peggio perché di queste cose non ne capisco niente e non vorrei far guai.:undecided:
Tuttavia, non so perché, ma il primo pensiero che mi è venuto quando sono cominciati i problemi è stato quello di un virus o di un trojan.

Ti ringrazio comunque dei consigli che mi hai dato dando un'occhiata al log.
Adesso provo a seguirli e poi ti faccio sapere.
A presto !
Nicla72
Newbie
 
Post: 8
Iscritto il: 29/08/06 20:15
Top

Postdi Mikele46 » 05/09/07 09:48

allora se il problema principale è questo errore lascia perdere i tool e fai solo queste 2 cosa

1.elimina quelle voci nel log di hijackthis

2. per correggere il tuo errore guarda qui


http://support.microsoft.com/kb/166445/it



P.S quando avrai altri problemi di questo tipo...controlla sempre su quel sito ;)
Immagine
Avatar utente
Mikele46
Utente Senior
 
Post: 521
Iscritto il: 20/08/06 15:16
Località: Napoli
Top

Postdi Nicla72 » 05/09/07 14:49

Questo è il sito dove avevo letto vi fosse la possibilità della presenza di Haxdoor...:oops:

Il problema è che mi escono i messaggi di errore più disparati quando il computer si riavvia. Adesso do un'occhiata più approfondita al portale... :-?

Grazie ancora per il tuo aiuto. Ti farò sapere come è andata.
Nicla72
Newbie
 
Post: 8
Iscritto il: 29/08/06 20:15
Top
Rispondi al post

Torna a Sicurezza e Privacy

Chi c’è in linea

Visitano il forum: Nessuno e 79 ospiti