Analisi log file di HijackThis

[michela.molinar]

Ho mandato in esecuzione HijackThis ecco il Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 19.58.13, on 08/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\socksupp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\mdm.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\michela\IMPOST~1\Temp\Rar$EX00.600\Hij ackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.d ll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.d ll
O4 - HKLM\..\Run: [Internet SocketSupport] socksupp.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\RunServices: [Internet SocketSupport] socksupp.exe
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: C6 Messenger.lnk = C:\Programmi\C6 Messenger\c6Messenger.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: LG SyncManager.lnk = C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1148909748222
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.virgilio.it/down...derActiveX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7966A53D-ECD2-4C8E-9018-B2300D0AAFAF}: NameServer = 85.37.17.47 85.38.28.82
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LogCrd - Unknown owner - C:\WINDOWS\TEMP\7.tmp
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Nella rilevazione automatica del Logfile del sito http://www.hijackthis.de/index.php?l...ct=italian#anl sono stati rilevati i seguenti processi che nn conosco:

Processi Sconosciuti:

A).C:\WINDOWS\System32\socksupp.exe Processo in esecuzione. Processo sconosciuto.

B)O4 - HKLM\..\Run: [Internet SocketSupport] socksupp.exe (Hit rate: 0,00 %
Applicazione sconosciuta.)



C)O4 - HKLM\..\RunServices: [Internet SocketSupport] socksupp.exe (Hit rate: 0,00 %
Applicazione sconosciuta.)

D)O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.virgilio.it/down...derActiveX.cab
Abbastanza sospetto Oggetti ActiveX sconosciuti oppure oggetti ActiveX provenienti da siti web sconosciuti devono sempre essere eliminati. Se il nome dell'oggetto ActiveX o dell'indirizzo (URL) contiene le parole 'dialer', 'casino', 'free plugin' ecc, deve essere immediatamente cancellato (pulsante Fix di HijackThis)!
Controllate se conoscete il sito web altrimenti eliminatelo (Fix).
IL SITO WEB LO CONOSCO LO ELIMINO LO STESSO ?

E)O17 - HKLM\System\CCS\Services\Tcpip\..\{7966A53D-ECD2-4C8E-9018-B2300D0AAFAF}: NameServer = 85.37.17.47 85.38.28.82
Abbastanza sospetto Se il Dominio non appartiene al vostro provider Internet od alla vostra rete aziendale, questi elementi dovrebbero essere eliminati. Anche gli elementi 'SearchList' dovrebbero essere cancellati (Fix).
COME FACCIO A SAPERE SE il Dominio appartiene o NO al MIO provider Internet ?
Ho trovato il sito https://www.ripe.net/fcgi-bin/webupdates.pl
Se questo sito serve: dove devo mettere il NameServer=?

F)O23 - Service: LogCrd - Unknown owner - C:\WINDOWS\TEMP\7.tmp
Sconosciuto I risultati mostrano tutti i servizi che non provengono da Microsoft. Spesso Malware (virus, trojan o worm) si avviano come servizi di sistema e non risulta facile riconoscerli.
Servizio sconosciuto. (7.tmp)

Abbastanza Sospetti:

G)R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

Sicuro. Questa pagina è stata identificata come sicura. PER SICUREZZA LA POSSO ELIMINARE??

[michela.molinar]

Scusate le domande sopra elencate sono tante!
Le piu importanti come posso rimuovere socksupp.exe ??
e questo che robaccia è?
O23 - Service: LogCrd - Unknown owner - C:\WINDOWS\TEMP\7.tmp
scusate prima ho spinto Invio e si è kiusa l'email anticipatamente..
GRAZIE per l'attenzione !!

[michela.molinar]

Scusa rifaccio il LogFIle perchè non avevo kiuso Internet!! Ho riletto bene il PUNTO 4 !! lo ripubblico. Mi autocastigo!!

[michela.molinar]

Logfile of HijackThis v1.99.1
Scan saved at 1.00.31, on 09/07/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\Programmi\ewido anti-spyware 4.0\guard.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINDOWS\System32\socksupp.exe
C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programmi\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\michela\Desktop\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.d ll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programmi\Macrogaming\SweetIMBarForIE\toolbar.d ll
O4 - HKLM\..\Run: [Internet SocketSupport] socksupp.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programmi\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!ewido] "C:\Programmi\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\RunServices: [Internet SocketSupport] socksupp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: C6 Messenger.lnk = C:\Programmi\C6 Messenger\c6Messenger.exe
O4 - Global Startup: DSLMON.lnk = C:\Programmi\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: LG SyncManager.lnk = C:\Programmi\LG PC Suite\LG PC Sync\LGSyncManager.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1148909748222
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab32846.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.virgilio.it/down...derActiveX.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programmi\ewido anti-spyware 4.0\guard.exe
O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LogCrd - Unknown owner - C:\WINDOWS\TEMP\7.tmp
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Programmi sconosciuti:

A) C:\WINDOWS\System32\socksupp.exe
O4 - HKLM\..\Run: [Internet SocketSupport] socksupp.exe
O4 - HKLM\..\RunServices: [Internet SocketSupport] socksupp.exe

ps: da tempo ho socksupp.exe occupa la CPU al 35% riesco a Terminare il Processo con Task Manager MA COME lo posso eliminare?

B) O23 - Service: LogCrd - Unknown owner - C:\WINDOWS\TEMP\7.tmp
Sconosciuto I risultati mostrano tutti i servizi che non provengono da Microsoft. Spesso Malware (virus, trojan o worm) si avviano come servizi di sistema e non risulta facile riconoscerli.
Servizio sconosciuto. (7.tmp)
COME FACCIO A TROVARLO E A STANARLO?

Programmi Sospetti:

C) C:\WINDOWS\System32\mdm.exe
Sicuro. processi in esecuzione. (mdm.exe)
Machine Debug Manager. Used by developers.

Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\programme\gemeinsame dateien\microsoft shared\vs7debug\!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni.
MDM.EXE-07915C2C C:\WINDOWS\Prefetch (HO TROVATO ANCHE QUESTO).
DEVO ELIMINARLI? SE SI CON COSA?

D) C:\Programmi\ewido anti-spyware 4.0\guard.exe
Sicuro. processi in esecuzione. (guard.exe)
Steganos AntiDialer 7

Abbastanza sospetto! Secondo il nostro archivio, questo programma gira normalmente in c:\programme\steganos antidialer 7\!. Controllare questa installazione e sottoponila a controllo antivirus se ritieni.

E) O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.virgilio.it/down...derActiveX.cab
Abbastanza sospetto Oggetti ActiveX sconosciuti oppure oggetti ActiveX provenienti da siti web sconosciuti devono sempre essere eliminati. Se il nome dell'oggetto ActiveX o dell'indirizzo (URL) contiene le parole 'dialer', 'casino', 'free plugin' ecc, deve essere immediatamente cancellato (pulsante Fix di HijackThis)!
Controllate se conoscete il sito web altrimenti eliminatelo (Fix).
CONOSCO IL SITO LO ELIMINO?

Programmi da Eliminare:

F) O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
Sicuro. L'elemento E&sporta in Microsoft Excel è stato identificato come sicuro.
Se l'oggetto 'E&sporta in Microsoft Excel ' non è più necessario, esso può essere eliminato.

PS. SONO state fatte scansioni Kaspersky, Ewido, Trojan Remover,CWSredder,Spybot quest'ultimo ha rilevato Double Click ma se faccio aggiusta Problema Spybot NON risponde piu'!

GRAZIE per l'attenzione!!

[amvinfe]

se rileggi meglio la discussione ti accorgerai che neanche la posizione dove è presente hijackthis.exe è corretta.
Apri una nuova discussione e posta un nuovo log di HJT questa volta corretto
Chiudo il 3d.

PS
se non cominciamo a far rispettare le regole questo forum diventa un posto dove si entra e si posta ciò che si vuole senza rispettare le regole.
Non è una critica indirizzata solo a te.

Grazie