[HIJACK] ho provato di tutto ma ..

[indre]

Ciao a tutti..
Ho sistema operativo windows XP HOME - SP1
Ho un virus chiamato stealth.hack.
mi apre sempre pornazzi e come pagine iniziale
www.specialgoods.info/ad/ad0411/
Ho iniziato come da guida a provare con ad-ware aggiornato, poi proseguendo con spyboot, poi passando a cwshredder.exe, ad una scansione online..
niente..

Ebbene nessuno di questi è riuscito ad eliminare l'odioso ospite..
allora ho provato con HIJACK...
scompattato e inserito nella DIR C:\Programmi\hijack, ho fatto la scansione e mi dava un sacco di cose..
non essendo molto esperto sono andato sul sito
http://www.hijackthis.de
analizzato il log ho poi selezionato tutte le applicazioni dove mi indicava da eliminare e sospetto..
.. rifaccio scansione e vedo che è andato via quasi tutto..
Ora riavvio .. rifaccio scansione e vedo che ci sono di nuovo tutti i processi..
Ho letto la guida di hijack, segunedola ma nulla..
Ora mi permetto di postare i log..
il programma è stato lanciato con tutti gli applicativi chiusi, disconnesso dalla lan

------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 10.20.05, on 23/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\HP\KBD\KBD.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\TrueAssistant\TrueAssistant.exe
c:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\hij\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.i--search.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0411/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.i--search.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.i--search.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.i--search.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_ 5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\ycomp5_ 5_7_0.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Programmi\File comuni\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "c:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM\..\Run: [ShowShifter TVTV EPG Daemon] "C:\Programmi\Home Media Networks Limited\ShowShifter\TVTVD.exe"
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [SysSearch] REGEDIT.EXE -s C:/WINDOWS/sysreg.reg
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: TrueAssistant.lnk = C:\Programmi\TrueAssistant\TrueAssistant.exe
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/nd/nd03039.exe
O16 - DPF: {00000000-0000-0000-0000-002120570000} - http://www.pgsconnect.com/access/pgs0292.exe
O16 - DPF: {42C559C0-2E84-11D5-A3C6-00010219529D} (siacapi-core-install) - https://portal.actalis.it/CA/Environ...re-install.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://www.accessoveloce.com/nd/nd01192.exe
O16 - DPF: {FFFF003C-0001-101A-A3C9-08002B2F49FB} - http://www.infoaffari.com/060A002.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{294F9EF5-0C5D-4C4B-9F83-020562EF7F26}: NameServer = 194.184.201.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{294F9EF5-0C5D-4C4B-9F83-020562EF7F26}: NameServer = 194.184.201.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{294F9EF5-0C5D-4C4B-9F83-020562EF7F26}: NameServer = 194.184.201.5
O18 - Protocol hijack: mhtml -
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - c:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Servizio Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

------------------------------------------------------------------------
grazie mille

[antares11]

mi permetto di osservare che non hai seguito alla lettera quanto previsto in quel link in rilievo (e di riflesso quanto già ampiamente spiegato in altri casi simili al tuo), perchè basta tralasciare una sola cosa e il problema si ripresenta: il log di hjt NON è indispensabile a risolver alcun problema, non dimentichiamolo

detto questo, che te ne pare circa
- SP2?
- safe mode (alias modalità sicura,protetta,provvisoria?)
- usare tool veramente efficaci, tipo KAV (antivirus), CounterSpy (antispyware), con riferimento pure a http://www.dslreports.com/faq/8428 previa ricerca in questo forum ?
come vedi ti ho indicato tool in trial o shareware (=gratis per 30 gg) e quanto di meglio c'è in giro: ma ce ne sono tantissimi altri che SOLO cercando di persona te ne puoi rendere conto

in 2 parole i consigli bisogna seguirli alla lettera e ricordarsi che il link in rilievo è necessariamente stringato ed essenziale ma non completo

[indre]

grazie delle info..
quei programmi non li ho usati in quanto non FREE..
però se sono costretto ne farò uso..
SP2 non l'ho installato in quanto dovrei mettere il pc in rete e questo mi comporterebbe qualche rischio per le altre macchine...
cercherò di scaricarla e portarla sul pc di destinazione..
ciao

[NetEscape]

Dai processi che vedo nn risulta nesuun firewall attivo. Devi installarne uno se vuoi navigare tranquillo. Kerio, Outpost, Sygate, Zone Alarm, Tiny, fai tu... basta che ne installi uno + il sp2 consigliato da antares.

[indre]

inizio a disperare..
ho installato SP2, rifatto ad-ware, spyboot, cwshredder, hijack
niente da fare..
allora ho scaricato come suggeritomi CounterSpy poi ho provato con regcleaner, poi killbox, poi taskmanagerselector..
nulla.. niente da fare.. niente di niente.. sti caxxo di processi e spyware sono sempre presenti...
inizio a rassegnarmi all'idea di formattare.. in perfeto stile M$..
...................
grazie

[holifay]

Ti do il mio modesto contributo, cioè quello che inizierei a fare io:

fixa queste voci:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.i--search.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0411/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.i--search.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.i--search.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.i--search.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.i--search.com/ie/

poi fixa queste modifiche al file hosts:

O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz

poi elimina queste (sono per lo più dialer) a meno che non ti servano:

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.accessoveloce.com/nd/nd03039.exe
O16 - DPF: {00000000-0000-0000-0000-002120570000} - http://www.pgsconnect.com/access/pgs0292.exe
O16 - DPF: {42C559C0-2E84-11D5-A3C6-00010219529D} (siacapi-core-install) - https://portal.actalis.it/CA/Enviro...ore-install.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://www.accessoveloce.com/nd/nd01192.exe
O16 - DPF: {FFFF003C-0001-101A-A3C9-08002B2F49FB} - http://www.infoaffari.com/060A002.exe

verifica che l'IP 194.184.201.5 appartenga al tuo provider o alla tua azienda (è di Novanet, Sondrio) altrimenti dovresti fixare anche:

NameServer = 194.184.201.5
O17 - HKLM\System\CS1\Services\Tcpip\..\{294F9EF5-0C5D-4C4B-9F83-020562EF7F26}: NameServer = 194.184.201.5
O17 - HKLM\System\CS2\Services\Tcpip\..\{294F9EF5-0C5D-4C4B-9F83-020562EF7F26}: NameServer = 194.184.201.5

e installa il firewall quanto prima

[indre]

ciao!
grazie delle info.. ora provo anche come mi hai suggerito te..
a prima vista sembra ciò che ho già fatto.. ma sono si sa mai..
194.184.201.8 è l'ip del provider quindi ok..
adesso vediamo se ne vengo fuori..
rognoso cmq..
ho installato SP2, una volta a posto metterò su zonealarm..
ricomincia la battaglia

[amvinfe]

questo valore
O4 - HKLM\..\Run: [SysSearch] REGEDIT.EXE -s C:/WINDOWS/sysreg.reg
è legato ad una variante del trojan startpage
http://securityresponse.symantec.com...startpage.html

[indre]

finalmente..dopo numerosi tools e incazzatyre varie sono riuscito a debellarlo..
ho installato mwav.exe... debellati 25 virus..
mitico..
grazie a tutti delle info .. adeesso mega antivirus.. firewall e aggiornamenti

[NetEscape]

per il firewall ti do un consiglio: se nn sei particolarmente esperto di network evita Sygate, che richiede conoscenze approfondite. punta piuttosto su programmi più semplici, come Zone Alarm: http://www.zonelabs.com/

Configurazione

Sezione firewall >> livello di security impostato ad high sia per la internet zone che per la trusted zone (modificabile se devi fare file sharing).

Sezione firewall >> advanced >> segno di spunta su lock host file.