anche io Log HJThis

[t_bee]

Ciao a tutti, da un po' di tempo lotto con il mio pc che mi fa strani scherzi. Dopo aver formattato tutto, installato antivirus vari (tra cui quelli consigliati da questo forum) mi ritrovo con un dialer (credo!) che non so come individuare e che mi reindirizza ad un 899 e due finestrelle che mi si aprono dicendomi che da un programma o da un utente è richiesta la connessione.

Ho scaricato HijackThis e vi posto il log. Tra l'altro c'è un certo rasautou.exe che mi sembra strano... :master:

Potete aiutarmi, please?

Logfile of HijackThis v1.99.1
Scan saved at 16.25.18, on 31/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\languard.exe
C:\WINDOWS\glv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\rasautou.exe
C:\Programmi\HJThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [rant] rant.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [LanGuard] "C:\WINDOWS\languard.exe"
O4 - HKLM\..\Run: [glv] C:\WINDOWS\glv.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [rant] rant.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [rant] rant.exe
O4 - HKCU\..\Run: [Windows Dynamic Loading Header] winDLL32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunServices: [Windows Dynamic Loading Header] winDLL32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

Grazie in anticipo

[NetEscape]

rant.exe è una backdoor:
http://www.greatis.com/appdata/d/r/rant.exe.htm

[NetEscape]

glv.exe, trojan:
http://www.sophos.com/virusinfo/anal...dloaderng.html

[NetEscape]

bon, procedemus:
disabilita ripristino configurazione di sistema e parti in modalità provvisoria. fai una scansione sia con Norton, con Trojan Remover (link utili del forum) e Spybot Search & Destroy. fammi sapere. ciao

ti consiglio di usare Firefox come browser e soprattutto di configurare bene il firewall di XP. cmq puoi anche usare Zone Alarm: http://www.zonelabs.com/

Ah, ovviamente, dopo esserti ripulito e protetto, di corsa su Windowsupdate.

[antares11]

Originariamente inviato da t_bee
Ciao a tutti, da un po' di tempo lotto con il mio pc che mi fa strani scherzi. Dopo aver formattato tutto, installato antivirus vari (tra cui quelli consigliati da questo forum) mi ritrovo con un dialer (credo!) che non so come individuare e che mi reindirizza ad un 899 e due finestrelle che mi si aprono dicendomi che da un programma o da un utente è richiesta la connessione.

..............

non cercare di giustificarti per non aver seguito quanto chiaramente specificato nel primo link utile di questo forum: i problemi son tuoi, se a te per primo NON interessa darti da fare come consigliato, ripeto come consigliato, che vuoi che gliene importi agli altri?
questo è il mio pensiero

[t_bee]

grazie mille NetEscape, l'unica cosa è che avevo già seguito le indicazioni di questo forum scansionando con Ad-Aware, Spybot & Co. ma nessuno mi trovava quelli da te citati.
Ora ho Norton 2005, aggiornato, che mi ha trovato delle cose (ora in quarantena) che non riesce ancora a correggere.

Proverò con i tuoi nuovi consigli.


PS: quanto ad Antares11, non ti illudere di sapere e capire sempre tutto. Impara a concedere il beneficio del dubbio senza giudicare e usa le energie che hai per aiutare, non per attaccare a vuoto...

[NetEscape]

ciao!
cmq nn credo che antares dicesse questo per aggredirti: lui si preoccupa semplicemente che a livello di sicurezza ci sia una corretta informazione-formazione (da cui i link in rilievo). poi devi anche considerare che ogni caso va preso nello specifico, perchè cambia la configurazione del pc, i processi ed un mucchio di altre cose che possono influire con la scansione. lui cercava semplicemente di tutelarti per il futuro. ciao & stammi bene!

[t_bee]

Non è tanto l'aggressione...ma Antares11 non può dire che io non abbia seguito l'intera procedura solo perchè ho ancora dei problemi. Come dici tu ognuno ha il proprio pc configurato in modo diverso e può dare risposte diverse alle stesse procedure.

Cmq, ho rifatto tutto daccapo.
Risultati:

Spybot - mi trova 3 entries
1. Errore durante la scansione!
Xuron55 (Datei: C:\WINDOWS\win.ini kann nich geoffnet werden. impossibile accedere al file. Il file è utilizzato da un altro processo).
2. DyFuCa.InternetOptimizer
3. ISearchTech.SideFind

La 2 e la 3 non me le corregge!

Norton non trova nulla!
Trojan Remover non trova nulla! Rant.exe e glv.exe li lascia dove sono.

A questo punto, li rimuovo manualmente con HijackThis???
Cosa intendi per configurare BENE il firewall di XP?

Help

[NetEscape]

Eliminali con HJThis. elimina sia gli eseguibili che le chiavi del registro. controlla su HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Run e chiavi limitrofe. controlla anche su msconfig. cmq adesso faccio una ricerca sui due in questione. ciao

[NetEscape]

http://uk.trendmicro-europe.com/ente...=TROJ_AGENT.EB

qui c'è anche il sistema per rimuoverlo (glv.exe, cioè il trojan AGENT.EB)