[HJT] Supporto su chiavi da eliminare

[reversi]

ciao a tutti
mi trovo per la prima volta a dover eliminare delle chiavi rilevate con HJT

ho già eseguito scansioni con Ad-Aware [non ha trovato nulla] e spybot [che ha trovato parecchia sporcizia]

per scrupolo ho fatto uno scan con HjT e ho letto dei nomi strani tra i valori riportati.

prima di agire però vorrei il parere di qualcuno con piu dimestichezza.

di seguito trovate il log con segnate con una freccia le chiavi che a mio parere vanno tolte (hanno nomi comuni a certe cose trovate da spybot)e con dei punti interrogativi quelle che mi sembrano strane.. se ne trovate altre vi chiedo la gentilezza di segnalarmele.

grazie mille

OS: Win98 Gold

Logfile of HijackThis v1.99.1
Scan saved at 14.04.29, on 31/08/05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
???? C:\PROGRAMMI\TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE
C:\PROGRAMMI\REAL\PLAYER\REALPLAY.EXE
C:\WINDOWS\SYSTEM\GSICON.EXE
C:\WINDOWS\SYSTEM\DSLAGENT.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMMI\DC1300\DCMNT1_0\DC1300MI.EXE
C:\WINDOWS\SYSTEM\REALMON.EXE
C:\PROGRAMMI\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMMI\HJTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mtzxk.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da VirgilioTin
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.tin.it"); (C:\Programmi\Netscape\Users\cp1\prefs.js)
O2 - BHO: Class - {815F7C5F-448E-A479-1D2A-285401DC8A31} - C:\WINDOWS\SYSTEM\SYSEJ.DLL (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
???? O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [RealTray] C:\PROGRAMMI\REAL\PLAYER\REALPLAY.EXE SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [ccApp] "c:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] c:\Programmi\File comuni\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [twetehmcz] C:\WINDOWS\SYSTEM\qusnac.exe
O4 - HKLM\..\Run: [DC1300 Monitor] C:\Programmi\DC1300\DCMnt1_0\DC1300mi.exe
----> O4 - HKLM\..\Run: [EnergyPlugIn] C:\Programmi\EnergyPlugIn\EnergyPlugin.exe
O4 - HKLM\..\Run: [eTrust Realtime Monitor] C:\WINDOWS\SYSTEM\realmon.exe /start
O4 - HKLM\..\Run: [Recguard] C:\Programmi\HP\recguard.exe
O4 - HKLM\..\Run: [Apvxdwin] C:\WINDOWS\SYSTEM\APVXDWIN.EXE
O4 - HKLM\..\Run: [IPSecMon] C:\Programmi\Common files\VPN Network\IPSecMon.exe /vpncheck
O4 - HKLM\..\Run: [Windows Update AutoUpdate Client] C:\WINDOWS\SYSTEM\winupd\wuauclt.exe
O4 - HKLM\..\Run: [FoolProof] C:\Programmi\SmartStuff\fpwinldr.exe /load
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [NTNM.EXE] C:\WINDOWS\NTNM.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "c:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "c:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Avvio Office.lnk = C:\Programmi\Microsoft Office\Office\OSA.EXE
O4 - Startup: Corel Family & Friends Reminders.LNK = C:\Programmi\Corel\Print House Magic\cffrem.exe
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\PROGRAMMI\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS \npaudio.dll
O12 - Plugin for .tif: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin5.dll
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
----> O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1053611.exe
----> O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://download.energyfactor.com/dia...vex_575_it.exe
O21 - SSODL: KTxGjxXdQuYPpRs - {2B7A10EB-81D0-BA41-8AF5-B6C65F530B47} - C:\WINDOWS\SYSTEM\ahuno.dll (file missing)

[holifay]

per una rimozione corretta dei malware ti conviene leggere la guida in rilievo ed usare i programmi lì elencati.

Dal tuo log noto parecchia sporcizia e non so se è sufficiente fixare le voci che ti riporto di seguito... probabilmente avresti bisogno di qualche altro ripristino "ad hoc" sul registro.

Trovo più che sospette queste voci:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mtzxk.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {815F7C5F-448E-A479-1D2A-285401DC8A31} - C:\WINDOWS\SYSTEM\SYSEJ.DLL (file missing)
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\host32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [twetehmcz] C:\WINDOWS\SYSTEM\qusnac.exe
O4 - HKLM\..\Run: [EnergyPlugIn] C:\Programmi\EnergyPlugIn\EnergyPlugin.exe
O4 - HKLM\..\Run: [Windows Update AutoUpdate Client] C:\WINDOWS\SYSTEM\winupd\wuauclt.exe (spero di non sbagliarmi con questa: si trova in una directory errata!)
O4 - HKLM\..\RunServices: [NTNM.EXE] C:\WINDOWS\NTNM.EXE
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted IP range: 67.19.185.246 (perchè una società di Dallas-TX dovrebbe essere trusted?)
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1053611.exe
O16 - DPF: {FFFF0001-0001-101A-A3C9-08002B2F49FC} - http://download.energyfactor.com/di...ivex_575_it.exe
O21 - SSODL: KTxGjxXdQuYPpRs - {2B7A10EB-81D0-BA41-8AF5-B6C65F530B47} - C:\WINDOWS\SYSTEM\ahuno.dll (file missing)

Per la corretta rimozione fai riferimento alla guida che trovi nei link in rilievo e non dimenticare di rimuovere anche i file corrispondenti (i vari exe e dll), eventualmente abilitando anche la visualizzazione di quelli nascosti/sistema.

Per il futuro se eviti di postare con "code" risparmi a chi legge il fastidio di usare la barra di scorrimento orizzontale!


A dimenticavo: TEXTBRIDGE CLASSIC 2.0\BIN\INSTANTACCESS.EXE è un componente di un software OCR (riconoscimento ottico cartteri)

[reversi]

la guida l'ho letta ma siccome non ho mai usato hjt e sto lavorando su un pc non mio volevo essere sicuro su cosa andavo a modificare..
e la tua precisazione circa l'istantaccess mi ha dato ragione..

chiedo scusa per lo scorrimento orizzontale.. ho modificato il messaggio ma nn è bastato.
terrò presente per i miei prossimi post, nei quali allegherò i files

ciao, simone

[amvinfe]

Originariamente inviato da reversi


chiedo scusa per lo scorrimento orizzontale.. ho modificato il messaggio ma nn è bastato.
terrò presente per i miei prossimi post, nei quali allegherò i files

ciao, simone

non inserire il log nel "CODE" e vedrai che il problema non si ripresenterà