Hijack che si ricrea

**MaSsimo64** · 11-05-2004, 23:30

Dunque ho effettuato gl'aggiornamenti, ho eseguito la scansione dell AV McAfee, il quale non ha rilevato nulla ed ecco il Log

Logfile of HijackThis v1.97.7
Scan saved at 22.22.06, on 11/05/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMMI\MCAFEE\MCAFEE VIRUSSCAN\ALOGSERV.EXE
C:\PROGRAMMI\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
C:\PROGRAMMI\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMMI\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAMMI\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\GIOCHI BLIZZ\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAMMI\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [iamapp] C:\Programmi\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [DU Meter] C:\PROGRAMMI\DU METER\DUMETER.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\SYSTEM\fpdisp4a.exe
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM\..\Run: [NVQuickTweak] RUNDLL32.EXE NVQTWK.DLL,NvTaskbarInit
O4 - HKLM\..\Run: [Imonitor] "C:\PROGRAMMI\MCAFEE\QUICKCLEAN\PlgUni.exe" /START
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [nisserv] C:\Programmi\Norton Internet Security\NISSERV.EXE
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programmi\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programmi\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: Drive Preparer.lnk = C:\Programmi\EZSCSI50\DRIVEWIZ\wizwatch.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: PC Alert III.lnk = C:\Programmi\MSI\PC Alert III\alert.exe
O4 - Startup: MemTurbo.lnk = C:\Programmi\Silicon Prairie Software\MemTurbo\memturbo.exe
O4 - Startup: DragStrip.lnk = C:\Programmi\Aladdin Systems\DragStrip\DragStrip.exe
O4 - Startup: Fix-It.lnk = C:\Programmi\VCOM\Fix-It\mxtask.exe
O4 - Startup: AntiCrash.lnk = C:\Programmi\Dachshund Software\AntiCrash\AntiCrash.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...118.4627662037
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.243.154.62,195.31.190.31

**amvinfe** · 12-05-2004, 14:39

apri HJT metti la spunta al fianco delle seguenti voci, clicca su Fix checked.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\OOBE\BLANK.HTM
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup questo è il worm Arret.A http://www.trendmicro.com/vinfo/viru...RRET.A&VSect=T

riavvia in modalità provvisoria ed elimina:
C:\WINDOWS\SYSTEM\OOBE \BLANK.HTM <===la cartella
C:\WINDOWS\SYSTEM\wucrtupd.exe <=== il file

riavvia e fai una scansione online in rilievo -links utili- trovi gli indirizzi.

Riavvia e posta un nuovo Log

**MaSsimo64** · 12-05-2004, 19:28

Ho corretto le voci e cancellato i file, la scansione online con BitDefender non ha rilevato nulla, ed ecco il log:

Logfile of HijackThis v1.97.7
Scan saved at 19.21.02, on 12/05/04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\GIOCHI BLIZZ\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMMI\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAMMI\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [iamapp] C:\Programmi\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [DU Meter] C:\PROGRAMMI\DU METER\DUMETER.EXE
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\SYSTEM\fpdisp4a.exe
O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM\..\Run: [NVQuickTweak] RUNDLL32.EXE NVQTWK.DLL,NvTaskbarInit
O4 - HKLM\..\Run: [Imonitor] "C:\PROGRAMMI\MCAFEE\QUICKCLEAN\PlgUni.exe" /START
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programmi\File comuni\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [nisserv] C:\Programmi\Norton Internet Security\NISSERV.EXE
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programmi\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programmi\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: Drive Preparer.lnk = C:\Programmi\EZSCSI50\DRIVEWIZ\wizwatch.exe
O4 - Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Startup: PC Alert III.lnk = C:\Programmi\MSI\PC Alert III\alert.exe
O4 - Startup: MemTurbo.lnk = C:\Programmi\Silicon Prairie Software\MemTurbo\memturbo.exe
O4 - Startup: DragStrip.lnk = C:\Programmi\Aladdin Systems\DragStrip\DragStrip.exe
O4 - Startup: Fix-It.lnk = C:\Programmi\VCOM\Fix-It\mxtask.exe
O4 - Startup: AntiCrash.lnk = C:\Programmi\Dachshund Software\AntiCrash\AntiCrash.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...118.4627662037
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.243.154.62,195.31.190.31

McAfee non avrebbe dovuto rilevarlo il verme presente nel file?
oppure mmi sfugge qualcosa?

**Arks** · 12-05-2004, 20:33

Certo McAfee avrebbe potuto scovarlo,forse altri AV l'avrebbero fermato,sopratutto sarebbero meno pesanti per il tuo sistema.
Ormai comunque hai deciso di servirti dei colossi norton e mcafee.
Guardando il tuo HJT log,( a me sembra ormai privo di parassiti,ma e' meglio aspettare il giudizio di amvinfe)mi e' venuta una perplessita' su

O4 - Startup: Fix-It.lnk = C:\Programmi\VCOM\Fix-It\mxtask.exe

che e' definito come trojan da Symantec.Se hai ancora qualche anomalia ti conviene accertare se hai il file sottonominato nel tuo registro:

When Trojan.KKiller is executed, it does the following:
Copies itself as %Windir%\<Trojan file name.exe>.
NOTE: %Windir% is a variable. The Trojan locates the Windows installation folder (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.
Modifies the (Default) value of the registry key:

HKEY_CLASSES_ROOT\exefile\shell\open\command

to:

<Trojan file name.exe> "%1" %*

Se la cosa si riferisce ad un applicazione tua che riconosci,tanto meglio.Anche se meglio sarebbe installare un anti-Trojan,che riconosce e elimina anche i worms che mcafee non vede.
Uno ben semplice ma efficace,che funziona come trial per 30gg,che eventualmente puoi installare per circa 21€, e' TrojanRemover:
www.simplysup.com

Scarica,installa e AGGIORNA e fai lo Scan generale (Quick),poi controlla Windows in particolare (durera' 30-50 min).
Anche se il sunnominato non e' un trojan,fare il controllo al boot ad un antitrojan e' piu' sicuro.

**amvinfe** · 12-05-2004, 22:03

Originariamente inviato da Arks
mi e' venuta una perplessita' su

O4 - Startup: Fix-It.lnk = C:\Programmi\VCOM\Fix-It\mxtask.exe

che e' definito come trojan da Symantec.Se hai ancora qualche anomalia ti conviene accertare se hai il file sottonominato nel tuo registro:

When Trojan.KKiller is executed, it does the following:
Copies itself as %Windir%\<Trojan file name.exe>.
NOTE: %Windir% is a variable. The Trojan locates the Windows installation folder (by default, this is C:\Windows or C:\Winnt) and copies itself to that location.
Modifies the (Default) value of the registry key:

HKEY_CLASSES_ROOT\exefile\shell\open\command

to:

<Trojan file name.exe> "%1" %*

veramente la Symantec dice che il trojan termina alcuni processi, fra questi mxtask.exe, non dice che è un file del trojan

Fix-it Utitlities a cui il file mxtask.exe appartiene è un software per ottimizzare le prestazioni del computer.

**Arks** · 12-05-2004, 23:41

Bene cosi'!Ad una sbirciata frettolosa su symantec mi era sembrata una possibilita',quindi meglio errare per prudenza.
Mi scuso con MasSimo64 perche' ,riguardando meglio il log,e' evidente che ha gia' un antitrojan nelle vesti di NSW!

**MaSsimo64** · 13-05-2004, 14:55

Innanzi tutto vi ringrazio per la disponibilità, però Ad-aware trova ancora le due chiavi di registro non valide, se non ho capito male è l'ultimo aggiornamento delle reflist che causa quest'errore?

Originariamente inviato da Arks
Mi scuso con MasSimo64 perche' ,riguardando meglio il log,e' evidente che ha gia' un antitrojan nelle vesti di NSW!

Non devi scusarti anzi accetto ogni suggerimento, ma sai com'è quando si hanno più utenti che utilizzano lo stesso computer e navigano in rete in siti poco sicuri....

:hello:

**MaSsimo64** · 18-05-2004, 14:57

Ho aggiornato la versione di Ad-aware, ma il problema sussite trova sempre le due chiavi di registro non valide, forse mi è sfuggito qualcosa oppure è proprio un errore di Ad-aware?

**Arks** · 18-05-2004, 17:45

MasSimo64,la stessa cosa continua ad accadere anche a me con AdAware.Tieni presente che io non avevo alcun problema,tranne il falso allarme di AdAware,al contrario tuo.
Io ho provato a mettere le due voci incriminate di Registro nella sezione Ignora,cosi' non c'e' problema,poi ho provato a cancellare il tutto e rifare lo scan,e mi ritrova di nuovo una delle voci incriminate insieme ad una voce da eliminare....spero che al prossimo scan non ci sia piu',altrimenti rimetto in Ignora e saluti a casa.
Sembra che disinstallare e reinstallare sia inutile,percio' non lo tento ancora.
Per il tuo caso non saprei che dirti...sei sicuro di essere a posto?
Se si,(il tuo ultimo post lo farebbe sembrare),metti anche tu in Ignora.

**MaSsimo64** · 18-05-2004, 22:00

Allora è proprio un problema relativo all' aggiornamento di Ad-Aware...

Per essere aposto mi sembra tutto ok.. x ora...
Vorrà dire che ignorero anch'io.

:hello:

Discussione: Hijack che si ricrea

Strumenti discussione

Ricerca discussione

Visualizza

Permessi di invio