dialer eliminato,siamo sicuri?

[Arks]

plastique,il log di AdAware non dice granche', e' HIJACKTHIS che devi scaricare,usalo,salva il log con notepad,NON cancellare o fare nulla,(button FIX). Poi copia e incolla qui e ci sara' sicuro qualcuno che ti aiutera'.
Lo scarichi dai Links del forum.

[plastique]

Logfile of HijackThis v1.97.7
Scan saved at 9.41.21, on 06/04/2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Netropa\Multimedia Keyboard\nhksrv.exe
C:\PROGRA~1\EasyPHP\Apache\apache.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\MacOpener\FORMATM.EXE
C:\mysql\bin\mysqld.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\PROGRA~1\EasyPHP\Apache\apache.exe
C:\WINNT\Explorer.EXE
C:\Programmi\Creative\SBAudigy2\DVDAudio\CTDVDDet. EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\NASDAK\OmniMouse Driver\2.1\MOUSE32A.EXE
C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programmi\Visual Networks\Visual IP InSight\Italy\IPMon32.exe
C:\Programmi\Netropa\Onscreen Display\OSD.exe
C:\WINNT\System32\cdplayer.exe
C:\Programmi\Netropa\InetKb\Inetkb.exe
C:\Programmi\StopDialers\StopDialers.exe
C:\mysql\bin\winmysqladmin.exe
C:\WINNT\system32\wuauclt.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINNT\System32\rsvp.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOCUME~1\LAROCC~1\IMPOST~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tiscali.it/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.it
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programmi\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTDVDDet] C:\Programmi\Creative\SBAudigy2\DVDAudio\CTDVDDet. EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programmi\File comuni\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\NASDAK\OmniMouse Driver\2.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programmi\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [IPInSightMonitor 01] "C:\Programmi\Visual Networks\Visual IP InSight\Italy\IPMon32.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [MSConfig] C:\Programmi\msconfig_w2k\msconfig.exe /auto
O4 - Startup: Stop Dialers.lnk = C:\Programmi\StopDialers\StopDialers.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: ATI TV (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.it
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

[plastique]

[Arks]

Ho analizzato voce per voce-tranne la serie O4,perche' il sito di confronto non e' disponibile al momento-e mi pare che non ci sia niente di strano nel tuo pc. L'unica cosa che potrebbe essere eliminata,ma lo puoi fare anche manualmente in seguito-dopo aver consultato Google e deciso cosa vuoi fare- e' inetinfo.exe che Spywareinfo consiglia di eliminare.
Vediamo se qualche moderatore prende visione del tuo HJT,io non ho potuto controllare completamente gli O4 e ,non avendo mai usato W2k,non ho familiarita' con certi vostri .exe,ma tracce di dialers qui non mi sembra ci siano o plastique.

[plastique]

cos'é inetinfo.exe ?
perché mi dici di consultare google?

ciao e grazie mille

altri commenti sul file di log da utenti win 2000?

[Arks]

ho cercato di allegare tre o quattro volte un file,ma non c'e' verso.
per cui vai su Google, digita inetinfo.exe e guarda questo sito nella prima pagina,vedrai che dice di eliminare inetinfo.txt perche potenziale pericolo per EXPLOIT:

Inetinfo.exe Vulnerability - [ Traduci questa pagina ]
... Automatic Removal: PestPatrol detects this. PestPatrol removes this. Manual Removal:
Follow these steps to remove Inetinfo.exe Vulnerability from your machine. ...
www.pestpatrol.com/ PestInfo/i/inetinfo_exe_vulnerability.asp - 24k - Copia cache - Pagine simili


Se non conosci un file o un termine abituati a guardare su Google o altro motore,e' meglio sopratutto per te.

[plastique]

inetinfo - inetinfo.exe - Process Information
Process File: inetinfo or inetinfo.exe
Process Name: IIS Admin Service Helper
Description: InetInfo, which is part of Microsoft Internet Information Services (IIS) and is used for debugging. The service is seen primarily on Windows NT 4 or 2000 Server where InetInfo provides Internet proxy and web server services.
Company: Microsoft Corp.
System Process: Yes
Security Risk ( Virus/Trojan/Worm/Adware/Spyware ): No
Common Errors: N/A

---------------------------------------
trovato qui: http://www.liutilities.com/products/...rary/inetinfo/

che faccio cancello o no?

ciao

[darkkik]

Penso proprio di no...leggi bene il report.

[plastique]

e grazie anche a te per 'aiuto, come mai arks diceva di cancellarlo?

e inoltre potresti darmi un'altra occhiata al logfile di hijacksthis che c'é alla pagina precedente di questo post?
ciao e grazie ancora a tutti

[darkkik]

Penso riguardi non l'eliminazione del file inetinfo.exe, ma l'eliminazione della vulnerabilità alla quale viene sottoposto un sistema (il più delle volte un Server) che utilizza questo file.
Il tipo di attacco è di tipo DoS e per darti un'idea assomiglia molto a quello del blaster, solo che è finalizzato a sottoporre i servers a continue richieste inutili, fino a che questi cadono e possono essere così oggetto di attacchi hackers.
Guarda il link sotto e puoi farti un'idea:
http://security.polito.it/nt/apr99.htm

Secondo me non ti conviene stare a diventar matto e cercare dialer e servzi dubbi su tutto il pc...ti conviene installare un buon antivirus o adware se vuoi stare più tranquillo...ogni tanto andare su Windows Update e scaricarti le varie patch di aggiornamento.

ciao .