Log di hijackthis: secpol.exe ed altro [era: aiuto]

**Belmesseri** · 24-09-2008, 11:04

Ciao,
ho fatto la scansione con hijackthis e trovo alcune applicazioni credo sospette..
vi posto il log, se qualcuno puo darmi qualche indicazione..il pc in questione funge da server
grazie

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.08.48, on 23/09/2008
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v6.00 SP2 (6.00.3790.3959)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\CBA\pds.exe
C:\WINDOWS\System32\ismserv.exe
C:\Programmi\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE
C:\WINDOWS\system32\ntfrs.exe
C:\Programmi\Fighters\configservice.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
c:\atlas\sapdb\indep_prog\pgm\serv.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
C:\WINDOWS\system32\MsgSys.EXE
C:\WINDOWS\system32\ams_ii\iao.exe
C:\WINDOWS\system32\cba\xfr.exe
C:\Programmi\Fighters\licenseservice.exe
C:\Programmi\Fighters\updateservice.exe
C:\Programmi\Fighters\ScannerService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programmi\Fighters\spywarefighter\Spywarefighte rUser.exe
c:\programmi\fighters\spywarefighter\SPYWAREfighte rTray.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\secpol.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3E671154-62EC-4522-8B54-70F08C8B66C1} - C:\WINDOWS\system32\ddemlv.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {9522CEB1-4F8D-4426-8251-FFF9795C5EAE} - c:\windows\system32\cnvfatq.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301. 7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programmi\Fighters\spywarefighter\Spywarefighte rUser.exe
O4 - HKCU\..\Run: [FASTTRACKPassepartout] C:\WINDOWS\Passepartout.exe -A
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O15 - ESC Trusted Zone: http://www.google.it
O15 - ESC Trusted Zone: http://www.symantec.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.quickstaraccess.com/10721-23.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Belmess
O17 - HKLM\Software\..\Telephony: DomainName = Belmess
O17 - HKLM\System\CCS\Services\Tcpip\..\{7896D427-80BC-40FE-BAB4-9597457EAAA3}: NameServer = 192.168.0.4,192.168.0.2
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = Belmess
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: Domain = Belmess
O17 - HKLM\System\CS6\Services\Tcpip\Parameters: Domain = Belmess
O20 - Winlogon Notify: fsmgmt - fsmgmt.dll (file missing)
O20 - Winlogon Notify: lrwrzyyx - C:\WINDOWS\SYSTEM32\cnvfatq.dll
O20 - Winlogon Notify: tt - C:\WINDOWS\
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programmi\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel Alert Handler - Intel® Corporation - C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - Intel® Corporation - C:\WINDOWS\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\CBA\pds.exe
O23 - Service: JBoss - Alexandria Software Consulting + Multiplan Consultants - C:\ATLAS\synchro\jboss-3.2.3\bin\JBossService.exe
O23 - Service: LAMS (JBoss App Server) (lams) - Unknown owner - C:\lams\jboss\bin\wrapper.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: Servizio Discovery di Symantec System Center (NSCTOP) - Symantec Corporation - C:\PROGRA~1\Symantec\SYMANT~1\NSCTOP.EXE
O23 - Service: PTK License-FIGHTERS-18665827 - SPAMfighter - C:\Programmi\Fighters\licenseservice.exe
O23 - Service: PTK Live Update-FIGHTERS-18665827 - SPAMfighter - C:\Programmi\Fighters\updateservice.exe
O23 - Service: PTK Scanner-FIGHTERS-18665827 - SPAMfighter - C:\Programmi\Fighters\ScannerService.exe
O23 - Service: PTK SharedAccess-FIGHTERS-18665827 - SPAMfighter - C:\Programmi\Fighters\configservice.exe
O23 - Service: SAPDB: .CATLASS (SAP DBTech-.CATLASS) - SAP AG - C:\ATLAS\SAPDB\DEPEND\pgm\kernel.exe
O23 - Service: SAPDB: ATLAS (SAP DBTech-ATLAS) - SAP AG - C:\ATLAS\SAPDB\DEPEND\pgm\kernel.exe
O23 - Service: SAP DB WWW (SAPDBWWW) - Unknown owner - c:\atlas\sapdb\indep_prog\web\pgm\wahttp.exe
O23 - Service: SAPDBXIE - Unknown owner - c:\atlas\sapdb\indep_prog\web\pgm\sapdbxie.exe
O23 - Service: ATLAS: Test Center Server (serverTC) - Unknown owner - C:\ATLAS\server\bin\win32\serverTCLoader.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Apache Tomcat (Tomcat5) - Apache Software Foundation - C:\ATLAS\Tomcat\bin\tomcat5.exe
O23 - Service: XServer - SAP AG - c:\atlas\sapdb\indep_prog\pgm\serv.exe

--
End of file - 7830 bytes

**Deifobe** · 24-09-2008, 13:33

Apri il registro -> Start / Esegui ,digita regedit e dai l'ok
Portati in questa chiave :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Clicca su winlogon e, nella finestra a destra, trova "Userinit"

Nella colonna "dati" vedrai scritto:

c:\windows\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,

Tutto quello scritto in rosso è la parte che dovrai eliminare, guardala bene

Ora, fai doppio clic su "userinit" e, nella finestra che si apre, elimina solo

C:\WINDOWS\system32\secpol.exe,

Al termine della modifica, nella finestra deve esserci scritto esattamente :

c:\windows\system32\userinit.exe,

(virgola compresa, mi raccomando!)

ATTENZIONE a non eliminare altro, altrimenti il computer non sarà più in grado di riavviarsi!!!

Se la modifica effettuata regge e il dato non si ripristina, apri risorse del computer, vai nella cartella C:\WINDOWS\system32\, trova ed elimina il file secpol.exe.

Riavvia il sistema

edit: nel caso dovessi avere dei dubbi, chiedi prima. Avvertimi quando hai affettuato questa modifica.

**Belmesseri** · 25-09-2008, 12:16

ho modificato il comando come indicato ma non trovo il file secpoll.exe.comunque il virus sembrerebbe eliminato.
Grazie

**Deifobe** · 25-09-2008, 13:02

veramente c'era dell'altro ma se dici che hai risolto, ti credo.

Ciao

**Belmesseri** · 27-09-2008, 08:28

Altro errore:
abbiamo trovato due nuovi file infetti cnvfatq.dll e ddemlv.dll. Ho provato a rimuoverli dal Prompt di Dos ma non ci riesco. Ho provato ad impostare con regedit la chiamata giusta ma non è possibile modificare il comando. Non so se sono stato chiaro ma comunque attendo lumi.
P.S. QUALE ALTRO?
Ciao

**Deifobe** · 27-09-2008, 11:06

ciao,

scarica SystemScan
disconnetti il pc da internet => disattiva l'antivirus => esegui systemscan => clicca su "Scan Now". Finita la scansione, riattiva l'antivirus

carica il rapporto che trovi sul desktop su Savefile e posta il link ottenuto.

nota: systemscan viene riconosciuto come infetto per il tipo di scansione effettuata (è un falso positivo). Te lo dico perchè, dovesse essere segnalato dall'antivirus (che non hai disattivato, come da indicazione), almeno sai il motivo. La procedura postata è sicura.

**Belmesseri** · 30-09-2008, 12:44

Di seguito file report dopo l'esecuzione di systemscan.
Aspettiamo nuove
grazie

rapporto eliminato

**Belmesseri** · 30-09-2008, 12:47

---- recent files in C:\WINDOWS\
27/01/2005 12:23:01 -- 30/09/2008 11:06:33 (DIR) ---- 0 days old -- C:\WINDOWS\system32

rapporto eliminato

**Belmesseri** · 30-09-2008, 12:55

Siccome il pc infetto è server il file da postare risulta troppo lungo (ci vorrebbero giorni!), è possibile inviarti il file in un altro modo?
grazie in ogni modo

**hell's bells** · 30-09-2008, 13:03

Deifobe ti aveva segnalato il link dove postare il report, segui la scaletta:

1) andare sul sito http://www.savefile.com/
2) clicca su Upload My file
3) clicca su upload oppure registrarsi per avere più opzioni
4) clicca su browser e scegli il file di log, txt ecc dal tuo computer
5) compila i restanti campi e clicca su Upload File
6) copia ed incolla sul forum il link per il download che trovi sotto la voce [If you want to link directly to the file: ]

Discussione: Log di hijackthis: secpol.exe ed altro [era: aiuto]

Strumenti discussione

Ricerca discussione

Visualizza

aiuto

aiuto

SystemScan prima parte

SystemScan seconda parte

system scan quinta parte

Permessi di invio