[Windows XP]Mi controllate questo log?

**sustia** · 08-07-2004, 12:18

Ciao, dal momento che all'improvviso si aprono finestre di IE all'improvviso, e che né Ad-aware né SpyBot hanno aggiustato, ho fatto una scansione con Hijackthis, e questo sotto è il risultato del log.
Potreste indicarmi eventuali voci sospette?
Grazie

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\shioulxae.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\PROGRA~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Logitech\iTouch\kbdtray.exe
C:\Programmi\Avast4\aswUpdSv.exe
C:\Programmi\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Mario\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uniba.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = +s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = +s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = +s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.uniba.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {842C9CF9-0AFE-4450-B83F-7E25EB4404CD} - C:\WINDOWS\xadjdtni.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [fwthaw] C:\WINDOWS\shioulxae.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Spyware Stormer] C:\Programmi\Spyware Stormer\SpywareStormer.Exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.dediche-vocali.us/dedm.exe
O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - http://www.agrocontrol.com/CFIDE/classes/CFJava.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...638.0863888889
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9812D621-DBD9-44D6-B0E2-457EFEEC72BF}: NameServer = 193.204.176.40,193.204.176.140
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = +s

**superbubba** · 09-07-2004, 23:38

O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://www.dediche-vocali.us/dedm.exe

Forse questa, eh, un attimino....

**amvinfe** · 10-07-2004, 00:12

Fai una scansione online prima con
http://www.pandasoftware.com/actives..._principal.htm

riavvia il pc e poi con
http://housecall.trendmicro.com/hous...start_corp.asp

riavvia il pc.
Fai un nuovo scan con HJT, ma questa volta posta tutto il log, anche la parte iniziale

**sustia** · 10-07-2004, 11:03

Grazie ragazzi, appena faccio le scansioni vi posto il risultato.

Se ne parla lunedì dal momento che è il pc dell'Università

**sustia** · 14-07-2004, 15:23

Originariamente inviato da amvinfe
Fai una scansione online prima con
http://www.pandasoftware.com/actives..._principal.htm

riavvia il pc e poi con
http://housecall.trendmicro.com/hous...start_corp.asp

riavvia il pc.
Fai un nuovo scan con HJT, ma questa volta posta tutto il log, anche la parte iniziale

Il primo link mi dava Server Busy, il secondo ha trovato qualcosa.

Per quanto riguarda Hijackthis questo è il log:

codice:

Logfile of HijackThis v1.97.7
Scan saved at 15.20.46, on 14/06/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\WINDOWS\shioulxae.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\PROGRA~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmi\Avast4\aswUpdSv.exe
C:\Programmi\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Logitech\iTouch\kbdtray.exe
C:\Programmi\Qualcomm\Eudora\Eudora.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\WINDOWS\shioulxae.exe
C:\Programmi\Microsoft Office\Office10\WINWORD.EXE
C:\Documents and Settings\Mario\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uniba.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = +s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = +s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = +s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.uniba.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {842C9CF9-0AFE-4450-B83F-7E25EB4404CD} - C:\WINDOWS\xadjdtni.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [fwthaw] C:\WINDOWS\shioulxae.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Spyware Stormer] C:\Programmi\Spyware Stormer\SpywareStormer.Exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {072D3F2E-5FB6-11D3-B461-00C04FA35A21} (CFForm Runtime) - http://www.agrocontrol.com/CFIDE/classes/CFJava.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} - http://www.spywarestormer.com/files2/Install.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...638.0863888889
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9812D621-DBD9-44D6-B0E2-457EFEEC72BF}: NameServer = 193.204.176.40,193.204.176.140
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = +s

Grazie

**amvinfe** · 14-07-2004, 17:35

Prima d'effettuare tutte le procedure, ricordati che il TeaTimer in SpyBot S&D dev'essere disabilitato.
Poi portati in questo sito
http://virusscan.jotti.dhs.org/
e fai analizzare il file
shioulxae.exe
il percorso è C:\WINDOWS\shioulxae.exe
Se il responso sarà come credo e quindi verrà classificato come file infetto, oltre ai valori che ti scriverò più in basso, dovrai aggiungere questo
O4 - HKLM\..\Run: [fwthaw] C:\WINDOWS\shioulxae.exe
e dovrai eliminare poi il file dalla provvisoria
C:\WINDOWS\shioulxae.exe <===il file

Riavvia in modalità provvisoria apri HJT fai lo scan, metti la spunta al fianco di questi valori e clicca su Fix checked

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = +s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = +s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = +s
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll (file missing)
O2 - BHO: (no name) - {842C9CF9-0AFE-4450-B83F-7E25EB4404CD} - C:\WINDOWS\xadjdtni.dll
O17 - HKLM\System\CS1\Services\Tcpip\Parameter
s: Domain = +s

Sempre dalla provvisoria cerca ed elimina
C:\WINDOWS\xadjdtni.dll<===il file se presente

Riavvia in modalità normale e da Installazione Applicazioni disinstalla
Spyware Stormer ricordati d'eliminare anche la cartella in Programmi
webHancer Survey Companion ricordati d'eliminare anche la cartella in Programmi
Riavvia.

NOTA: Spyware Stormer oltre a dare falsi positivi ha anche il difetto di visualizzare molti banner
http://www.download.com/3302-8022_4-10297449.html
webHancer Survey Companion è molto di più di un "normale" spyware
http://www.pestpatrol.com/pestinfo/w/webhancer.asp

Fai poi una scansione online
http://support.f-secure.com/enu/home/ols.shtml

riavvia e posta un nuovo log di HJT

P.S.
una cortesia, nel caso il file shioulxae.exe dovesse risultare infetto copiami il report della scansione
grazie

**sustia** · 15-07-2004, 17:36

Ok grazie amvinfe, lunedì faccio la procedura che mi hai indicato, il pc infetto si trova in un altro ufficio.

Se trova quello che mi hai indicato ti posto il risultato.

Spyware Stormer l'hanno installato alcuni colleghi, ed in effetti mi sembrava che non fosse molto affidabile..

Discussione: [Windows XP]Mi controllate questo log?

Strumenti discussione

Ricerca discussione

Visualizza

[Windows XP]Mi controllate questo log?

Permessi di invio