controllo log hijackthis

[rebelia]

salve a tutti, avrei bisogno che qualcuno mi controllasse questo log, per cortesia:

codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.49.09, on 29/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Apoint2K\Apoint.exe
C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\Programmi\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
C:\Programmi\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programmi\Apoint2K\Apntex.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\SpeKtra\LiveUpdater\LeoLU.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOCUME~1\utente\IMPOST~1\Temp\NokiaVideoManager1.6.exe
C:\Documents and Settings\utente\Desktop\MORENA - PROGRAMMI SCARICATI\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.iol.it
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Infostrada LIBERO
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.libero.it:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = abbonati.libero.it;http://www.libero.it;*.libero.;*.;;;...0.1;localhost;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\utente\Dati applicazioni\ntos.exe,C:\WINDOWS\system32\sbwltbxa.exe,
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programmi\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programmi\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programmi\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programmi\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programmi\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programmi\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programmi\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [Tvs] C:\Programmi\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OrderReminder] C:\Programmi\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\utente\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\utente\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [igfxsvc] C:\WINDOWS\system32\igfxsvc.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [jkdfj94kgdftdf] C:\WINDOWS\TEMP\winlogan.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Jnskdfmf9eldfd] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Controllo automatico LiveUpdater.lnk = C:\Programmi\SpeKtra\LiveUpdater\LeoLU.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Tasto di scelta rapida per l'avvio di AutoCAD.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Crea preferiti portatile - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programmi\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.iol.it
O20 - Winlogon Notify: lcbepsrqpknmd - C:\WINDOWS\
O21 - SSODL: RamChk - {72613a33-356f-4307-8f64-6b2a2c377d97} - C:\WINDOWS\Installer\{72613a33-356f-4307-8f64-6b2a2c377d97}\RamChk.dll (file missing)
O21 - SSODL: TsmtVxnzWyAl - {54510368-FEFB-A9C2-736B-9B5073BE8486} - C:\WINDOWS\system32\qxptp.dll (file missing)
O21 - SSODL: SetupChk - {31e1003b-90dc-43a5-a6af-c7fc929dadf0} - C:\WINDOWS\Installer\{31e1003b-90dc-43a5-a6af-c7fc929dadf0}\SetupChk.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programmi\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: NM - Unknown owner - C:\DOCUME~1\utente\IMPOST~1\Temp\NM.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9075 bytes

[gioggio]

ciao rebelia,

O4 - HKUS\S-1-5-18\..\Run: [jkdfj94kgdftdf] C:\WINDOWS\TEMP\winlogan.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Jnskdfmf9eldfd] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM')

winlogan?

non so se conosci http://hijackthis.de/index.php?langselect=english è un'analizzatore automatico, però come tutte le cose automatiche non sempre ci prende...

approfondirei anche

C:\Documents and Settings\utente\Dati applicazioni\ntos.exe,C:\WINDOWS\system32\sbwltbxa .exe

[Emar]

Originariamente inviato da gioggio
ciao rebelia,



winlogan?

non so se conosci http://hijackthis.de/index.php?langselect=english è un'analizzatore automatico, però come tutte le cose automatiche non sempre ci prende...

approfondirei anche

Approfondisci quelle voci come ha detto gioggio

in effetti quel winlogan.exe (amesso che non sia un errore) ha tutta l'aria di essere un malware poichè è difficile che applicazioni esterne inseriscano nomi cosi stranamente assomiglianti a quelli windows.

Difatti: http://www.bleepingcomputer.com/star...exe-20454.html

Saluti,

Emar

[rebelia]

e non avete idea di cosa abbia gia' stanato

grazie, controllo

[Deifobe]

ciao,
scarica: SmitfraudFix, Avenger e CCleaner.

disconnetti il pc da internet

esegui hjt e fixa:
O4 - HKLM\..\Run: [autoload] C:\Documents and Settings\utente\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
O4 - HKCU\..\Run: [autoload] C:\Documents and Settings\utente\Local Settings\Application Data\cftmon.exe
O4 - HKUS\S-1-5-18\..\Run: [spoolw] C:\WINDOWS\system32\spoolw.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [jkdfj94kgdftdf] C:\WINDOWS\TEMP\winlogan.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Jnskdfmf9eldfd] C:\WINDOWS\TEMP\csrssc.exe (User 'SYSTEM')
O20 - Winlogon Notify: lcbepsrqpknmd - C:\WINDOWS\
O21 - SSODL: RamChk - {72613a33-356f-4307-8f64-6b2a2c377d97} - C:\WINDOWS\Installer\{72613a33-356f-4307-8f64-6b2a2c377d97}\RamChk.dll (file missing)
O21 - SSODL: TsmtVxnzWyAl - {54510368-FEFB-A9C2-736B-9B5073BE8486} - C:\WINDOWS\system32\qxptp.dll (file missing)
O21 - SSODL: SetupChk - {31e1003b-90dc-43a5-a6af-c7fc929dadf0} - C:\WINDOWS\Installer\{31e1003b-90dc-43a5-a6af-c7fc929dadf0}\SetupChk.dll (file missing)
O23 - Service: NM - Unknown owner - C:\DOCUME~1\utente\IMPOST~1\Temp\NM.exe (file missing)

esegui avenger e nel box bianco copia e incolla:

files to delete:
C:\Documents and Settings\utente\Local Settings\Application Data\cftmon.exe
C:\WINDOWS\system32\cssrss.exe
C:\WINDOWS\system32\spoolw.exe
C:\WINDOWS\TEMP\winlogan.exe

Spunta "Automatically disable any rootkits found" e clicca su "execute".
Il pc dovrebbe riavviarsi da solo, altrimenti riavvialo tu. Posta il report rilasciato

Esegui CCleaner e ripulisci sia i file temporanei e cookie (2 volte) che il registro.

Poi, entra in modalità provvisoria: all'avvio del pc, prima che inizi a caricare Windows, premi ripetutamente F8. Uscirà la finestra del menu Opzioni avanzate di Windows => scegli modalità provvisoria (usa il tasto freccia ^) e premi invio.

Esegui SmitfraudFix, seleziona l'opzione 2 + invio. Alla domanda "Registry cleaning - Do you want to clean the registry ?", digita "Y" + invio (potrebbe rimuovere lo sfondo del desktop che hai). Il computer si riavvierà, altrimenti riavvialo tu in modalita' normale. Verra' visualizzato un file di testo con i risultati (che dovresti trovarlo anche in C:\rapport.txt).

Carica i rapporti di SmitfraudFix e di avenger su Freefilehosting e posta i link ottenuti.

Comincia a fare quanro indicato... poi passiamo a questa:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Docum ents and Settings\utente\Dati applicazioni\ntos.exe,C:\WINDOWS\system32\sbwltbxa .exe,

Non stavi messo proprio bene..

questo vedremo dopo se è ok..
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = abbonati.libero.it; www.libero.it; *.libero.;*.;;;169.254.240.27;192.168.1.30;192.168 .1.31;127.0.0.1;localhost;<local>

[rebelia]

grazie, piu' tardi provo

[rebelia]

qui lo zip con:
il log di avenger
il log di smitfraudfix
il log di hijackthis DOPO le scansioni precedenti (compresa quella doppia con ccleaner)


non ho invece capito cosa devo fare di questa chiave:

Originariamente inviato da Deifobe

passiamo a questa:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Docum ents and Settings\utente\Dati applicazioni\ntos.exe,C:\WINDOWS\system32\sbwltbxa .exe,

[Deifobe]

forse ti eri già mosso per conto tuo con altre procedure, non so.. comunque i files non sono stati trovati da avenger (e nel log nemmeno ci sono, ok) e la F2 nemmeno c'è.. idem per la R1.

quindi tutto ok
ciao

[rebelia]

Originariamente inviato da Deifobe
forse ti eri già mosso per conto tuo con altre procedure, non so.. comunque i files non sono stati trovati da avenger (e nel log nemmeno ci sono, ok) e la F2 nemmeno c'è.. idem per la R1.

quindi tutto ok
ciao

si, mentre aspettavo risposta ho fatto girare clamwin che ha stanato ancora un po' di cose per conto suo

grazie mille sei stato molto esaustivo!

[Deifobe]

si vedeva chiaramente, tranquillo..

ciao