Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 7 su 7

Discussione: Log Hijack This

  1. 26-07-2005, 19:17 #1
    trinityck
    trinityck non è in linea
    Utente di HTML.it L'avatar di trinityck
    Registrato dal
    Jan 2002
    Messaggi
    2,574

    Log Hijack This

    OS : Windows XP Pro

    Problema riscontrato: varie ed eventuali auhm, programmi scomparsi dall'elenco Avvio di msconig (ho provato a rimetterli a manina nel registro ma quasi tutti sono riscomparsi al riavvio successivo), Internet Explorer che si apre una volta e poi basta (ovvero non mi apre i link, non mi parte dalla barra di avvio veloce etc...).

    operazioni già effettuate: scansione con NOD32 aggiornato, Spybot aggiornato: virus e spyware eliminati. Scansione online di Panda e Symantec: nulla da riscontrare. Il problema è rimasto.

    log:

    Logfile of HijackThis v1.99.1
    Scan saved at 18.56.22, on 26/07/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
    C:\Programmi\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\System32\CTsvcCDA.EXE
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\System32\wdfmngr.exe
    C:\WINDOWS\svchost.exe
    C:\Programmi\Eset\nod32krn.exe
    C:\Programmi\AnalogX\POW\pow.exe
    C:\Programmi\BOINC\boincmgr.exe
    C:\Programmi\BOINC\boinc.exe
    C:\Programmi\BOINC\projects\setiathome.berkeley.ed u\setiathome_4.18_windows_intelx86.exe
    C:\Programmi\ATI Technologies\HydraVision\HydraDM.exe
    C:\Programmi\Internet Explorer\iexplore.exe
    C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe
    C:\WINDOWS\System32\windowsp.exe
    C:\Programmi\Internet Explorer\IEXPLORE.EXE
    C:\Programmi\Internet Explorer\IEXPLORE.EXE
    C:\Programmi\Mozilla Firefox\firefox.exe
    C:\WINDOWS\System32\taskmgr.exe
    C:\Programmi\WinRAR\WinRAR.exe
    C:\Programmi\WinRAR\WinRAR.exe
    C:\Documents and Settings\Savage\Desktop\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://forum.html.it/forum
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sygate.com/free/spf_upg_download.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
    F2 - REG:system.ini: Shell=Explorer.exe init32m.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
    O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
    O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programmi\ATI Technologies\HydraVision\HydraDM.exe
    O4 - HKLM\..\Run: [winnt DNS ident] windowsp.exe
    O4 - HKLM\..\RunServices: [winnt DNS ident] windowsp.exe
    O4 - HKCU\..\Run: [ATI HydraVision] "C:\Programmi\ATI Technologies\HydraVision\HydraCPL.exe"
    O4 - HKCU\..\Run: [POW] "C:\Programmi\AnalogX\POW\pow.exe"
    O4 - Startup: BOINC Manager.lnk = C:\Programmi\BOINC\boincmgr.exe
    O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
    O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_04\bin\npjpi142_04.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_04\bin\npjpi142_04.dll
    O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programmi\ATI Multimedia\TV\EXPLBAR.DLL
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O15 - Trusted Zone: www.archiviosex.net
    O15 - Trusted Zone: www.redfunny.com
    O15 - Trusted Zone: www.skymasters.biz
    O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/zenpuzzlegar...GameLoader.dll
    O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://www.ysbweb.com/ist/softwares/...sb_regular.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2232ade7...dxIE601_it.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
    O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://jchost.ctrlbox.com/101043.exe
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab31267.cab
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
    O23 - Service: HttpsV2 - Unknown owner - C:\WINDOWS\System32\wdfmngr.exe
    O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
    O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programmi\File comuni\Macromedia Shared\Service\Macromedia Licensing.exe
    O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programmi\Eset\nod32krn.exe
    O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
    O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programmi\TuneUp Utilities 2004\WinStylerThemeSvc.exe
    Paleblue Narratives - Narrative design collective project for gaming.
  2. 26-07-2005, 19:22 #2
    var
    var non è in linea
    Guest
    Registrato dal
    Nov 2003
    Messaggi
    6,078
    il log lo puoi analizzare in automatico da qui.

    ciao
  3. 26-07-2005, 20:50 #3
    trinityck
    trinityck non è in linea
    Utente di HTML.it L'avatar di trinityck
    Registrato dal
    Jan 2002
    Messaggi
    2,574
    grazie, in effetti ora va meglio

    c'è quel svchost in /Windows che viene identificato come strapericoloso. "Fixxandolo" (...) non riesco a toglierlo. Cancellandolo a manina nemmeno. Probabilmente è collegato a qualche servizio in avvio ma non riesco a capire a come risalirci. Come posso fare?
    Paleblue Narratives - Narrative design collective project for gaming.
  4. 26-07-2005, 23:52 #4
    holifay
    holifay non è in linea
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    a parte che dovresti vergognarti (forumisticamente parlando) a postare un log di Hijack come questo...

    Comunque se hai già eliminato il Trojan Dloader-JT (init32m.exe) e il worm W32/SDBOT (windowsp.exe) e fatto qualche altro ritocco (un paio di DPF e la trusted zone) direi che sei abbastanza a posto.

    Svchost non puoi fixarlo: è utilizzato come host di altri processi eseguiti da DLL. Se vuoi sapere da quali usa il comando tlist -s dal prompt dei comandi.
    Pensi di avere un file infetto? Invialo a SuspectFile
  5. 27-07-2005, 00:08 #5
    trinityck
    trinityck non è in linea
    Utente di HTML.it L'avatar di trinityck
    Registrato dal
    Jan 2002
    Messaggi
    2,574
    Originariamente inviato da holifay
    a parte che dovresti vergognarti (forumisticamente parlando) a postare un log di Hijack come questo...
    ha parlato la forumista navigata


    Svchost non puoi fixarlo: è utilizzato come host di altri processi eseguiti da DLL. Se vuoi sapere da quali usa il comando tlist -s dal prompt dei comandi.
    ... ok
    Paleblue Narratives - Narrative design collective project for gaming.
  6. 27-07-2005, 10:10 #6
    holifay
    holifay non è in linea
    Utente di HTML.it L'avatar di holifay
    Registrato dal
    May 2005
    Messaggi
    1,330
    Originariamente inviato da trinityck
    ha parlato la forumista navigata
    Mi dispace se te la sei presa senza capire a cosa mi riferivo.

    Il fatto è che ci sono dei 3D i rilievo con le istruzioni per usare al meglio i programmi che rimuovono i malware ed in particolare il tutorial per usare HijackThis al meglio.

    Tu non l'hai letto, cosa che invece ci si aspetterebbe da un ... "forumista navigato"
    Pensi di avere un file infetto? Invialo a SuspectFile
  7. 27-07-2005, 10:49 #7
    amvinfe
    amvinfe non è in linea
    Moderatore di Sicurezza informatica e virus L'avatar di amvinfe
    Registrato dal
    May 2002
    Messaggi
    6,739
    Solo alcune cose,
    leggiti la guida che holifay ti ha suggerito, guida presente anche in Link Utili (Rilievo), questo per poter utilizzare in maniera corretta HijackThis, come lo stai utilizzando tu, non ti esegue in maniera corretta i file di backup, che potrebbero ritornarti utili.

    Il file svchost.exe ha la sua giusta collocazione nei sistemi 2000/XP in System32, infatti alcuni processi sono visibli nel log
    C:\WINDOWS\system32\svchost.exe
    Questo in vece
    C:\WINDOWS\svchost.exe
    nulla ha a che fare con il processo legittimo di Windows, essendo presente nella %WinDir%.


    Per ultimo, chiudo il 3d, leggiti le regole poste in rilievo (tutte) ed eventualmente posta un nuovo log.

    Grazie

    P.S.
    dimenticavo, la prossima volta non inserire il log nel "code". Grazie
    ==
    Visita il mio blog SuspectFile.com
    ==
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.