log file di hijackthis & processi strani..

[blekm]

qualcuno che se ne intende.. potrebbe controllare questo log? grazie!

Logfile of HijackThis v1.99.0
Scan saved at 17.18.36, on 27/03/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programmi\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\PROGRA~1\COSIDS\BIN\TbMux32.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\spnsrvnt.exe
C:\PROGRA~1\COSIDS\APACHE~1\APACHE\ApchT2kW.exe
C:\iesetup2.exe
C:\Programmi\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Sony Corporation\Image Transfer\SonyTray.exe
C:\PROGRA~1\COSIDS\APACHE~1\APACHE\ApchT2kW.exe
C:\PROGRA~1\JAVASOFT\JRE\132E6D~1.1\bin\java.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Francioni Stefano\Desktop\temp\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://gw.aliceadsl.it/home
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fornito da Alice
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {138658AA-5AB9-4EEA-8122-6B2379526278} - C:\Documents and Settings\Francioni Stefano\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\1inav.dat
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\WINDOWS\cgmopenbho.dll
O4 - HKLM\..\Run: [REGRUN_2] C:\iesetup2.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programmi\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [MSPluginSrvc] p3.exe
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe
O4 - HKLM\..\RunServices: [MS Updating Utility] msupdater.exe
O4 - HKLM\..\RunServices: [Ethernet Drivers] smrrs.exe
O4 - HKLM\..\RunServices: [MicroSoft Wind0ws Updater] winsupdater.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra button: Alice - {F83F5479-A533-4935-9828-E27E56D47795} - http://gw.aliceadsl.it/alice (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://gw.aliceadsl.it/home
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O18 - Filter: text/html - {D44CFB87-8087-458D-A475-454CDC7ED9B6} - C:\Documents and Settings\Francioni Stefano\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\V0.26.dat
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programmi\AVPersonal\AVGUARD.EXE
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programmi\AVPersonal\AVWUPSRV.EXE
O23 - Service: COSIDS_TB - TransAction Software, D 81737 Munich - C:\PROGRA~1\COSIDS\BIN\TbMux32.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SentinelSuperProNet Server - Rainbow Technologies - C:\WINDOWS\System32\spnsrvnt.exe
O23 - Service: TIS 2000 Apache Web Server - Unknown - C:\PROGRA~1\COSIDS\APACHE~1\APACHE\ApchT2kW.exe


su questo pc ho trovato un sacco di processi in esecuzione, processi strani.. ve ne elenco un po!

wdemgr.exe
adtools.exe
adtoolskeep.exe
apcht2kw.exe
cisvc.exe
golden retriever cash back.exe
hwclock.exe
icp.exe
iesetup2.exe
istsvc.exe
mdm.exe
mdns.exe
msupdater.exe
nvsvc32.exe
optimize.exe
p2.exe
pgsxlv.exe
smrrs.exe
spnsrvnt.exe
tbmux32.exe
avengine.exe

[cso]

l'hai letto: http://forum.html.it/forum/showthrea...hreadid=769694 ?

[blekm]

si, l'ho letto..
e tutto ciò accade dopo aver usato spybot, ad-aware se & antivirus pe!

[antares11]

Originariamente inviato da blekm
si, l'ho letto..
e tutto ciò accade dopo aver usato spybot, ad-aware se & antivirus pe!

http://www.dslreports.com/faq/8428

riprova seguendo questi consigli, molto probabilmente anche se tu usassi tutti gli antiquesto e antiquell'altro di questo mondo non otterresti ugualmente nulla se non seguissi alla lettera quanto ti viene indicato di fare
che tra l'altro a grandi linee è espresso nei suoi concetti fondamentali nei link utili in rilievo

e ricordati che il log di HJT non è assolutamente MAI necessario a risolvere alcunchè: da noi viene usato a sproposito per ragioni già espresse chiaramente in passato, parliamoci chiaro

che te ne pare di questo?
http://forum.html.it/forum/showthrea...hijackthis+log

per me senza mezzi termini, visti anche i tuoi post passati, penso tu abbia poca voglia di aiutarti

ma dato che è pasquetta, antares11 ti fa un regalo facendoti conoscere
http://www.alground.com/forum/
dove puoi anche sfogarti nel tuo stile

[cso]

da una prima occhiata SEMBREREBBERO queste quelle a rischio:

C:\WINDOWS\System32\cisvc.exe
C:\PROGRA~1\COSIDS\BIN\TbMux32.exe
C:\WINDOWS\System32\spnsrvnt.exe
C:\iesetup2.exe
O4 - HKLM\..\Run: [REGRUN_2] C:\iesetup2.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab

naturalmente prima di cancellarle devi aspettare la consulata di amvinfe che è un'esperto su queste magagnie

poi devi sapere te quello che hai installato...non si è sicuri mai di niente (ed è giusto che sia così)

[amvinfe]

se ci fosse stato presente solo il primo tuo post avrei chiuso il 3d, il forum postato da antares11 probabilmente arriva come ultima spiaggia per l'utente e ciò me ne dispiace, così come mi spiacerebbe vedere 3d chiusi solo perchè si fa riferimento ad altri forum. Purtroppo qui in Italia (ed antares11 me ne può dare conferma) fare nomi di questo o di quell'altro forum o di quell'altro sito, o di quell'altro moderatore che scrive su questo ed in quell'altro forum è vista come una cosa inammissibile, qui non ci dev'essere in gioco il prestigio di questo o di quest'altro forum, quello che dovrebbe far contente le persone è che, indipendentemente da dove venga l'aiuto, il problema venga risolto.

A me poco importa aiutare una persona su questo forum o su alground o su ilsoftware o su GSF, a me importa aiutare e dove lo faccio mi frega poco e se un domani aver fatto dello "spam" a favore di un qualsiasi sito/forum potrebbe voler significare lamentele da chi sta sopra di me, non ci metterei un secondo di più ad alzare le chiappe e ringraziare tutti.

Io qui, come tutti del resto, non sono pagato e se permettete i soldi che impiego per la connessione li spendo come meglio credo, in fin dei conti mi adopero per aiutare e non per trarne profitto.

Scritto questo veniamo al tuo log:

con tutti i programmi chiusi compreso il browser elimina
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about :blank
O2 - BHO: (no name) - {138658AA-5AB9-4EEA-8122-6B2379526278} - C:\Documents and Settings\Francioni Stefano\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\1inav.dat
O4 - HKLM\..\Run: [REGRUN_2] C:\iesetup2.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [MSPluginSrvc] p3.exe
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe
O4 - HKLM\..\RunServices: [MS Updating Utility] msupdater.exe
O4 - HKLM\..\RunServices: [Ethernet Drivers] smrrs.exe
O4 - HKLM\..\RunServices: [MicroSoft Wind0ws Updater] winsupdater.exe
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O18 - Filter: text/html - {D44CFB87-8087-458D-A475-454CDC7ED9B6} - C:\Documents and Settings\Francioni Stefano\Impostazioni locali\Dati applicazioni\microsoft\internet explorer\V0.26.dat
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

riavvia in modalità provvisoria ed elimina se presenti
C:\iesetup2.exe
vpc32.exe
p3.exe
icp.exe
msupdater.exe
smrrs.exe
winsupdater.exe


fai una scansione con AdAware ed elimina i valori infetti.
Riavvia.
fai una scansione online
http://housecall.trendmicro.com/hous...start_corp.asp
riavvia.

Posta un nuovo log.

[blekm]

grazie. appena potrò farò tutto ciò che hai detto e posterò il nuovo log.

[antares11]

Originariamente inviato da amvinfe
se ci fosse stato presente solo il primo tuo post avrei chiuso il 3d, il forum postato da antares11 probabilmente arriva come ultima spiaggia per l'utente e ciò me ne dispiace, così come mi spiacerebbe vedere 3d chiusi solo perchè si fa riferimento ad altri forum. Purtroppo qui in Italia (ed antares11 me ne può dare conferma) fare nomi di questo o di quell'altro forum o di quell'altro sito, o di quell'altro moderatore che scrive su questo ed in quell'altro forum è vista come una cosa inammissibile, qui non ci dev'essere in gioco il prestigio di questo o di quest'altro forum, quello che dovrebbe far contente le persone è che, indipendentemente da dove venga l'aiuto, il problema venga risolto.

A me poco importa aiutare una persona su questo forum o su alground o su ilsoftware o su GSF, a me importa aiutare e dove lo faccio mi frega poco e se un domani aver fatto dello "spam" a favore di un qualsiasi sito/forum potrebbe voler significare lamentele da chi sta sopra di me, non ci metterei un secondo di più ad alzare le chiappe e ringraziare tutti.

Io qui, come tutti del resto, non sono pagato e se permettete i soldi che impiego per la connessione li spendo come meglio credo, in fin dei conti mi adopero per aiutare e non per trarne profitto.
..................

condivido quanto ha scritto amvinfe, con la precisazione che quando posto qualche link come di quel forum italiano un motivo c'era e ben chiaro: c'era uno spazio (a metà pagina) dedicato appositamente a chi avesse desiderato postare i propri log di hjt per essere analizzati
e questo l'ho fatto solo ed esclusivamente per il forumista blekm, non per me e non per amvinfe

dopodichè chiarito questo, e aver cercato come mio stile di aiutare qualcuno indicandogli all'occasione la strada maestra da percorrere e con i migliori mezzi a disposizione sul mercato per cominciare bene, ripeto cominciare bene a capire come fare per risolvere con cognizione di causa almeno parte dei suoi problemi, dopo aver ripetuto tante volte i medesimi consigli, considero esaurito il mio disinteressato intervento in simili situazioni

situazioni dove ho sempre cercato di coinvolgere, di stuzzicare l'interesse, di invogliare l'utente in attesa di qualche dritta a darsi da fare lui in prima persona: cosa che alla fine ho visto essere quasi in toto indigesta alla fiera razza italica

ne prendo atto della realtà che più di tanto non mi sorprende: avrei sperato che quel link al forum yankee avrebbe trovato più fortuna e gradimento nello stivale, peccato così non è stato anche se secondo me quella raccolta di tutorial è quanto di più esauriente e completo esista oggi nel web, anche se in inglese


pace e bene


________________________________
cosa mi hanno insegnato a scuola in italia? che la storia senza 'nomi & date' è una novella a puntate
l'altro ieri ho provato quell'antivirus cinese shareware che è veloce, completo, molto aggiornato e che costa circa 400 HK$, però non l'ho detto a nessuno, mink-yah

[blekm]

Originariamente inviato da amvinfe

O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [MSPluginSrvc] p3.exe
O4 - HKLM\..\RunServices: [Internet Content Publisher] icp.exe
O4 - HKLM\..\RunServices: [MS Updating Utility] msupdater.exe

ti ringrazio per le delucidazioni, in questi giorni farò come da te illustratomi...solo una piccola domanda: questi file di sopra (ne ho preos un paio come esempio...) per cancellare il file p3.exe basta che faccia una ricerca e cancelli tutte le occorrenze? te lo chiedo perche non capisco il significato di questo : O4 - HKLM\..\RunServices:
:master:

che significa? mi dice per caso dove trovare il file in questione?