PcPrimiPassi.it - informatica facile per tutti, home page
PcPrimiPassi.it - informatica facile per tutti, home page



Infezioni informatiche e Sicurezza informatica in generale

 PcPrimiPassi.it FORUMSICUREZZA INFORMATICAInfezioni informatiche e Sicurezza informatica in generale


Icona di Messaggio

Topic: scansione con hijack.





pietruzzzo
Principiante Principiante
pietruzzzo
Principiante Principiante
pietruzzzo
Principiante
Principiante

Avatar


Iscritto dal : 09/Maggio/2005
Da: Italy
Status: Offline
Posts: 77
Riporta il testo di: pietruzzzo Rispondibullet Topic: Post n° 71.311 - Postato: 21/Agosto/2007 alle 11:17


salve a tutti....

onestamente non sapevo cme intitolare questo topic.
I miei problemi sono iniziati con la ricerca su google di VLC ... lo volevo scaricare... la pagina web ha iniziato a fare una serie di indirizzi che sullla barra apparivano come numeri IP  e indirizzi web .....
 
ho fatto un po di scansioni con tutti i software consigliati da questo form...
pulito tutto.
rimane il  log di hijack che posto qui sotto ma di cui non so fare un interpretazione sicura al 100%...
 
qualcuno mi può aiutare?
 
grazie in anticipo!
 
 
 
Logfile of HijackThis v1.99.1
Scan saved at 11.09.41, on 21/08/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
C:\Programmi\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programmi\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programmi\Wireless LAN Utility\tiwlnsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Programmi\Wireless LAN Utility\TIWLANCu.exe
C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Skype\Phone\Skype.exe
C:\Programmi\Advanced System Optimizer\adblock.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programmi\Skype\Plugin Manager\SkypePM.exe
C:\Programmi\iTunes\iTunes.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\PIETRU~1\IMPOST~1\Temp\Rar$EX00.633\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:2323
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: HttpGuard Class - {98B822AD-6BE7-49BC-B773-97240B774080} - C:\WINDOWS\system32\AClient.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Version Cue CS2] C:\Programmi\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
O4 - HKLM\..\Run: [TI WLAN] C:\Programmi\Wireless LAN Utility\TIWLANCu.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Systweak Ad and Popup Blocker] "C:\Programmi\Advanced System Optimizer\adblock.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Anti-virus web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{102E3656-9EEA-4C3A-A19C-25FA50B00B10}: NameServer = 213.140.2.12,213.140.2.21
O17 - HKLM\System\CS1\Services\Tcpip\..\{102E3656-9EEA-4C3A-A19C-25FA50B00B10}: NameServer = 213.140.2.12,213.140.2.21
O17 - HKLM\System\CS2\Services\Tcpip\..\{102E3656-9EEA-4C3A-A19C-25FA50B00B10}: NameServer = 213.140.2.12,213.140.2.21
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programmi\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallShield Licensing Service - Macrovision                                                     - C:\Programmi\File comuni\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programmi\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared files\RichVideo.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TI Wlan Service (tiwlnsvc) - Unknown owner - C:\Programmi\Wireless LAN Utility\tiwlnsvc.exe


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 71.324 - Postato: 21/Agosto/2007 alle 16:30


Ciao...
elimina i seguenti elementi...:

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

Questa voce dovrebbe essere relativa ad un file infetto... :

O2 - BHO: HttpGuard Class - {98B822AD-6BE7-49BC-B773-97240B774080} - C:\WINDOWS\system32\AClient.dll

Vai su virustotal e manda il file in modo da saper con precisione con che cosa
si ha a che fare...
Il file sta al seguente percorso...: C:\WINDOWS\system32\AClient.dll
Riporta tutte le info recuperate... in modo da avere tutte le informazioni
necessarie...
Ciao



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



pietruzzzo
Principiante Principiante
pietruzzzo
Principiante Principiante
pietruzzzo
Principiante
Principiante

Avatar


Iscritto dal : 09/Maggio/2005
Da: Italy
Status: Offline
Posts: 77
Riporta il testo di: pietruzzzo Rispondibullet Topic: Post n° 71.326 - Postato: 21/Agosto/2007 alle 17:01


ciao! e grazie.........

allora... questi i risultati della scansione su Virus total.
 
Antivirus Versione Ultimo aggiornamento Risultato
AhnLab-V3 2007.8.22.0 2007.08.21 -
AntiVir 7.4.1.62 2007.08.21 TR/Dldr.ConHook.Gen
Authentium 4.93.8 2007.08.20 -
Avast 4.7.1029.0 2007.08.20 -
AVG 7.5.0.484 2007.08.20 Generic6.MDW
BitDefender 7.2 2007.08.21 Packer.Morphine.B
CAT-QuickHeal 9.00 2007.08.21 -
ClamAV 0.91 2007.08.21 -
DrWeb 4.33 2007.08.21 Trojan.BhoBot
eSafe 7.0.15.0 2007.08.20 Suspicious Trojan/Worm
eTrust-Vet 31.1.5076 2007.08.21 -
Ewido 4.0 2007.08.21 -
FileAdvisor 1 2007.08.21 -
Fortinet 2.91.0.0 2007.08.21 -
F-Prot 4.3.2.48 2007.08.20 -
F-Secure 6.70.13030.0 2007.08.21 Packed.Win32.Morphine.a
Ikarus T3.1.1.12 2007.08.21 MalwareScope.Trojan-Spy.BZub.1
Kaspersky 4.0.2.24 2007.08.21 -
McAfee 5101 2007.08.20 -
Microsoft 1.2803 2007.08.21 VirTool:Win32/Obfuscator.E
NOD32v2 2473 2007.08.21 a variant of Win32/BHO.BO
Norman 5.80.02 2007.08.21 W32/BHO.QG
Panda 9.0.0.4 2007.08.21 Suspicious file
Prevx1 V2 2007.08.21 -
Rising 19.37.12.00 2007.08.21 -
Sophos 4.20.0 2007.08.21 Mal/EncPk-M
Sunbelt 2.2.907.0 2007.08.21 -
Symantec 10 2007.08.21 -
TheHacker 6.1.8.171 2007.08.21 Trojan/Morphine.a
VBA32 3.12.2.2 2007.08.21 Trojan.BhoBot
VirusBuster 4.3.26:9 2007.08.21 -
Webwasher-Gateway 6.0.1 2007.08.21 Trojan.Dldr.ConHook.Gen
 
poi ho fatto questa prova:
ho fatto una ricerca con google(vlc download) e una volta apparsi i risultati, ho cliccato sul primo link. Nella toolbar , in attesa di caricare la pagina sono apparsi prima l'indirizzo :
 
poi l'indirizzo
 
per darmi infine una pagina che non corrisponde a quella trovata da google. ovviamente in tutto questo anche l'apertura di un pop up pubblicitario.
 
 
Poi mi si è presentato un altro problema...
quando provo ad aprire una cartella (non sempre) mi appare un mess d'errore windows con segnale rosso. Mi segnala
 
Microsoft visual C ++ Runtime Library.
 
Runtime Error!
Program:C\WINDOWS \explorer.exe
This application has requested the Runtime to terminate it in an unusual way.
Please contact the application's support team for more information.
 
ora... siccome ho perso il num di telefono del support team :P qualcuno, mi saprebbe dare una mano?
 
GRAZIE GRAZIE GRAZIE
 


pietruzzzo
Principiante Principiante
pietruzzzo
Principiante Principiante
pietruzzzo
Principiante
Principiante

Avatar


Iscritto dal : 09/Maggio/2005
Da: Italy
Status: Offline
Posts: 77
Riporta il testo di: pietruzzzo Rispondibullet Topic: Post n° 71.327 - Postato: 21/Agosto/2007 alle 17:04


dimenticavo:
il  file Aclient.dll lo devo eliminare? (penso di si ma aspetto conferma)
 
 
ARIGRAZIE! :)


prgn
Esperto Esperto
prgn
Esperto Esperto
prgn
Esperto
Esperto

Avatar


Iscritto dal : 29/Marzo/2007
Da: Italy
Status: Offline
Posts: 4.295
Riporta il testo di: prgn Rispondibullet Topic: Post n° 71.336 - Postato: 21/Agosto/2007 alle 19:01


Scarica il tool TrendMicro...  ed il pattern aggiornato..., il link del
pattern... dopo pochi giorni...non è più valido... e questo a causa del fatto
che il file viene aggiornato...
Scarica il pattern (è un file .zip) e scompattalo nella cartella del tool di
Trendi Micro... dopo di che potrai far partire lo scan... (naturalmente da
mod. prov.)
Non cancellare il log che ti registra nella cartella...
Ciao.



SALVIAMO I NEUTRINI DAL TUNNEL! Sottoscrivi anche tu la petizione...



pietruzzzo
Principiante Principiante
pietruzzzo
Principiante Principiante
pietruzzzo
Principiante
Principiante

Avatar


Iscritto dal : 09/Maggio/2005
Da: Italy
Status: Offline
Posts: 77
Riporta il testo di: pietruzzzo Rispondibullet Topic: Post n° 71.355 - Postato: 22/Agosto/2007 alle 10:14


Grazie prgn...
 
ho fatto quello che hai detto. ho un log della scansione di Trendi Micro.
 
Non ha rilevato virus mi sembra e intanto continuano i problemi con l'errore del runtime.... qualunque cartella provi ad aprire, mi appare l'errore e mi si blocca tutto per qualche secondo....
non vorrei friggere il pc di questo passo.
 
hai qualche altra dritta da darmi per provare a risolvere i miei problemi?
Grazie
 
ecco il log:
 
 
/--------------------------------------------------------------\
|                  Trend Micro System Cleaner                  |
|              Copyright 2006, Trend Micro, Inc.               |
|                   http://www.antivirus.com                   |
\--------------------------------------------------------------/

2007-08-21, 19:39:17,   Auto-clean mode specified.
2007-08-21, 19:39:17,   Running scanner "C:\Documents and Settings\pietruzzo\Desktop\Trendi Micro\TSC.BIN"...
2007-08-21, 19:39:41,   Scanner "C:\Documents and Settings\pietruzzo\Desktop\Trendi Micro\TSC.BIN" has finished running.
2007-08-21, 19:39:41,   TSC Log:
2007-08-21, 19:40:02,   An error was detected on "C:\Documents and Settings\pietruzzo\Desktop\Vray For rhino_RC3\VRayForRhino_RC3????\*.*": La sintassi del nome del file, della directory o del volume è incorretta.
2007-08-21, 19:40:02,   An error was detected on "C:\Documents and Settings\pietruzzo\Desktop\??\*.*": La sintassi del nome del file, della directory o del volume è incorretta.
2007-08-21, 19:41:03,   An error was detected on "C:\System Volume Information\*.*": Accesso negato.
2007-08-21, 20:36:44,   Files Detected:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 8/21/2007 19:41:09
VSAPI Engine Version : 8.000-1001
VSCANTM Version : 1.1-1001
Virus Pattern Version : 663 (217909 Patterns) (2007/08/20) (466300)
Command Line: C:\Documents and Settings\pietruzzo\Desktop\Trendi Micro\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.* /P=C:\Documents and Settings\pietruzzo\Desktop\Trendi Micro
65160 files have been read.
65160 files have been checked.
56845 files have been scanned.
248303 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 8/21/2007 20:36:44
---------*---------*---------*---------*---------*---------*---------*---------*
2007-08-21, 20:36:44,   Files Clean:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 8/21/2007 19:41:09
VSAPI Engine Version : 8.000-1001
VSCANTM Version : 1.1-1001
Virus Pattern Version : 663 (217909 Patterns) (2007/08/20) (466300)
Command Line: C:\Documents and Settings\pietruzzo\Desktop\Trendi Micro\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.* /P=C:\Documents and Settings\pietruzzo\Desktop\Trendi Micro
65160 files have been read.
65160 files have been checked.
56845 files have been scanned.
248303 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 8/21/2007 20:36:44 55 minutes 33 seconds (3333.47 seconds) has elapsed.
---------*---------*---------*---------*---------*---------*---------*---------*
2007-08-21, 20:36:44,   Clean Fail:
Copyright (c) 1990 - 2004 Trend Micro Inc.
Report Date : 8/21/2007 19:41:09
VSAPI Engine Version : 8.000-1001
VSCANTM Version : 1.1-1001
Virus Pattern Version : 663 (217909 Patterns) (2007/08/20) (466300)
Command Line: C:\Documents and Settings\pietruzzo\Desktop\Trendi Micro\VSCANTM.BIN /NBPM /S /CLEANALL /DCEGENCLEAN /LAPPEND /LD /LC /LCF /NM /NB /C /ACTIVEACTION=5 C:\*.* /P=C:\Documents and Settings\pietruzzo\Desktop\Trendi Micro
65160 files have been read.
65160 files have been checked.
56845 files have been scanned.
248303 files have been scanned. (including files in archived)
0 files containing viruses.
Found 0 viruses totally.
Maybe 0 viruses totally.
Stop At : 8/21/2007 20:36:44 55 minutes 33 seconds (3333.47 seconds) has elapsed.
---------*---------*---------*---------*---------*---------*---------*---------*
2007-08-21, 20:36:44,   Scanner "C:\Documents and Settings\pietruzzo\Desktop\Trendi Micro\VSCANTM.BIN" has finished running.
 


pietruzzzo
Principiante Principiante
pietruzzzo
Principiante Principiante
pietruzzzo
Principiante
Principiante

Avatar


Iscritto dal : 09/Maggio/2005
Da: Italy
Status: Offline
Posts: 77
Riporta il testo di: pietruzzzo Rispondibullet Topic: Post n° 71.359 - Postato: 22/Agosto/2007 alle 11:32


Aggiornamento...
ho rifatto in batteria tutte le scansioni con ad-aware, a-squared, CCleaner, spybot,e hijack.
a parte qualche cookies non ha trovato niente.
ho eliminato AClient.dll citato sopra.
ho eliminato il file sospetto a.exe...
 
risultato:
per ora i problemi sembrano risolti: le ricerche su internet mi conducono correttamente all'indirizzo trovato.
all'apertura delle cartelle non vengono rilevati problemi.
 
grazie a prgn in particolare ma a nche a tutti quelli che hanno letto il post e non hanno risposto perchè non sapevano aiutarmi.
 
Grazie
 






Vai al Forum
Non puoi postare nuovi topic in questo forum
Non puoi rispondere ai topic in questo forum
Non puoi cancellare i tuoi post in questo forum
Non puoi modificare i tuoi post in questo forum
Non puoi creare sondaggi in questo forum
Non puoi votare i sondaggi in questo forum

Bulletin Board Software by Web Wiz Forums version PcPrimiPassi
Copyright ©2001-2006 Web Wiz Guide

Questa pagina è stata generata in 0,039 secondi.

Sostienici

Versione 5.7 Sviluppata da Stefano Ravagni