Forum

Forum (https://www.coolstreaming.us/forum/)
-   Sicurezza (https://www.coolstreaming.us/forum/a/)
-   -   Aiuto con HijackThis! (https://www.coolstreaming.us/forum/a/17235-a.html)

petrescu 03-20-2007 12:42 AM

Aiuto con HijackThis!
 
questo il mio log. oggi ho fatto un po' di casini e mi sa che sono infetto.vorrei sapere cosa devo fixare

Code:
C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe C:\Programmi\Alwil Software\Avast4\ashServ.exe C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe C:\WINDOWS\AGRSMMSG.exe C:\Programmi\Synaptics\SynTP\SynTPLpr.exe C:\Programmi\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\hkcmd.exe C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\vsnpstd.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programmi\GizmoPlugin\GizmoPlugin.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programmi\Messenger\msmsgs.exe C:\Programmi\Windows Media Player\WMPNSCFG.exe C:\Programmi\File comuni\LightScribe\LSSrvc.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe C:\Programmi\Alwil Software\Avast4\ashWebSv.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Documents and Settings\Emanuele\Desktop\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = 127.0.0.1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti R3 - URLSearchHook: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {81B426CF-DF25-4FBB-B4AC-1011A5BBC9A5} - C:\WINDOWS\system32\jkkjjhi.dll O2 - BHO: (no name) - {A36169CE-ED13-442A-A02D-33E176D88DC5} - C:\WINDOWS\system32\jkkji.dll O2 - BHO: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\system32\tpgdqvle.dll O3 - Toolbar: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\wncavdxj.dll",setvm O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033 O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {53D71A20-15BA-4884-A778-07A75F6049F4} (AudioHandler Class) - http://cam1.east-ayrshire.gov.uk/activex/AMC.cab O16 - DPF: {5CD4310E-88FB-43C1-BE24-5F3FA9C5C9D1} (KooPlayer Control) - http://www.coolstreaming.us/consolle/webplus/KooPlayer.ocx O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://webcam5.hrz.tu-darmstadt.de/activex/AMC.cab O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{476CBD13-3538-497D-8422-6C85D485AE5D}: NameServer = 212.216.112.112,212.216.172.62 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O20 - Winlogon Notify: jkkji - C:\WINDOWS\system32\jkkji.dll O20 - Winlogon Notify: jkkjjhi - C:\WINDOWS\SYSTEM32\jkkjjhi.dll O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Gizmo VoIP Service (Gizmo Plugin) - SIPphone, Inc. - C:\Programmi\GizmoPlugin\GizmoPlugin.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\Shared\hpqwmi.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

alma 03-20-2007 12:52 AM

http://www.alground.com/site/module...rticle&artid=21
oppure
http://www.ilsoftware.it/articoli.asp?ID=2459
Posta qui:
http://www.hijackthis.de/index.php?langselect=italian
O sefiroth! :p

_Robbie_ 03-20-2007 05:48 AM

Qualcosina effettivamente hai a prima vista di non lecito...soprattutto in C:\windows\system32...ci sono svariati .exe e .dll con nomi random che sono un pò rognosetti da togliere. I primi che mi balzano all'occhio sono:

- O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [Cancella sicuramente]

- O2 - BHO: (no name) - {81B426CF-DF25-4FBB-B4AC-1011A5BBC9A5} - C:\WINDOWS\system32\jkkjjhi.dll [Cancella sicuramente ]

- O2 - BHO: (no name) - {A36169CE-ED13-442A-A02D-33E176D88DC5} - C:\WINDOWS\system32\jkkji.dll [Cancella sicuramente]

- O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\system32\tpgdqvle.dll [Cancella sicuramente]

- O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\wncavdxj.dll",setvm [Ti risulta associato a qualche programma? Altrimenti fixa sicuramente]

- O16 - DPF: {53D71A20-15BA-4884-A778-07A75F6049F4} (AudioHandler Class) - http://cam1.east-ayrshire.gov.uk/activex/AMC.cab [Hai installato qualche ActiveX proveniente da questo sito? Magari per vedere la cam? Altrimenti fixa]

- O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://webcam5.hrz.tu-darmstadt.de/activex/AMC.cab [Come sopra. Hai installato qualche ActiveX proveniente da questo sito? Magari per vedere la cam? Altrimenti fixa]

- O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab [E' la nuova scansione rapida di Panda Sofware a quanto pare, se è quella non fixare]

- O20 - Winlogon Notify: jkkji - C:\WINDOWS\system32\jkkji.dll [Cancella sicuramente, anche se non sarei sicuro se te li fa togliere con HijackThis, nutro poche speranze]

- O20 - Winlogon Notify: jkkjjhi - C:\WINDOWS\SYSTEM32\jkkjjhi.dll [Cancella sicuramente, anche se non sarei sicuro se te li fa togliere con HijackThis, nutro poche speranze]

- O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe [Che razza di roba è? Driver Audio? Programma antipirateria che trovi nei cd/dvd originali e ti impedisce di copiarli autoinstallandosi sul pc? Ti risulta qualcosa del genere? Se è qualcosa installato da te bene, altrimenti cancella, in alcuni siti il file in questione viene segnalato proprio come virus]

Questo è quanto a grandi linee posso aver visto a quest'ora tarda della notte. Spero che a qualcosa ti possa servire, perlomeno per un check-up generale ;)
Cmq analizza il tuo log sul sito che ti ha dato Alma e cerca di fixare le voci che la scansione dà come non sicure (tranne la toolbar di Cool che risulta come applicazione sconosciuta :mad: ) e scansiona il pc con Spybot-S&D e/o Ad-Aware se non l'hai già fatto...poi il buon Sephirot ti darà sicuramente una mano :D


In bocca al lupo, se hai qualche dubbio posta :)

petrescu 03-20-2007 09:57 AM

grazie mille...ora provo...se non ce la faccio non mi creo problemi: format C: e via ;)
le cose buone tra quelle segnalate sono activeX per webcam e nanoscan
tutte le altre non so che siano.
a me mi ha insospettito proprio l'ultimo file da te segnalato che è comparso stranamente ieri dopo aver visitato un sito che google bloccava (maledetto a me)

sefirothmorpheus 03-20-2007 10:57 AM

tutto corretto...

Quote:
Originally Posted by _Robbie_
Qualcosina effettivamente hai a prima vista di non lecito...soprattutto in C:\windows\system32...ci sono svariati .exe e .dll con nomi random che sono un pò rognosetti da togliere. I primi che mi balzano all'occhio sono:

- O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [Cancella sicuramente]

- O2 - BHO: (no name) - {81B426CF-DF25-4FBB-B4AC-1011A5BBC9A5} - C:\WINDOWS\system32\jkkjjhi.dll [Cancella sicuramente ]

- O2 - BHO: (no name) - {A36169CE-ED13-442A-A02D-33E176D88DC5} - C:\WINDOWS\system32\jkkji.dll [Cancella sicuramente]

- O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\system32\tpgdqvle.dll [Cancella sicuramente]

- O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\wncavdxj.dll",setvm [Ti risulta associato a qualche programma? Altrimenti fixa sicuramente]

- O16 - DPF: {53D71A20-15BA-4884-A778-07A75F6049F4} (AudioHandler Class) - http://cam1.east-ayrshire.gov.uk/activex/AMC.cab [Hai installato qualche ActiveX proveniente da questo sito? Magari per vedere la cam? Altrimenti fixa]

- O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab [E' la nuova scansione rapida di Panda Sofware a quanto pare, se è quella non fixare]

- O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://webcam5.hrz.tu-darmstadt.de/activex/AMC.cab [Come sopra. Hai installato qualche ActiveX proveniente da questo sito? Magari per vedere la cam? Altrimenti fixa]

- O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab [E' la nuova scansione rapida di Panda Sofware a quanto pare, se è quella non fixare]

- O20 - Winlogon Notify: jkkji - C:\WINDOWS\system32\jkkji.dll [Cancella sicuramente, anche se non sarei sicuro se te li fa togliere con HijackThis, nutro poche speranze]

- O20 - Winlogon Notify: jkkjjhi - C:\WINDOWS\SYSTEM32\jkkjjhi.dll [Cancella sicuramente, anche se non sarei sicuro se te li fa togliere con HijackThis, nutro poche speranze]

- O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe [Che razza di roba è? Driver Audio? Programma antipirateria che trovi nei cd/dvd originali e ti impedisce di copiarli autoinstallandosi sul pc? Ti risulta qualcosa del genere? Se è qualcosa installato da te bene, altrimenti cancella, in alcuni siti il file in questione viene segnalato proprio come virus]



io direi di fixare anche questa:
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

scusa il ritardo di risposta... ma sono praticamente senza rete a casa! :mad:

petrescu 03-20-2007 11:13 AM

grazie a tutti e 2, ma non sono riuscito a risolvere.
ieri, nonstante gli avvisi di google, sono andato su un sito ed è impazzito il pc.
la scheda video dava i numeri ogni 2 secondi, firefox crashava sempre...
vi scrivo da pc appena formattato :D:D

_Robbie_ 03-21-2007 12:14 AM

Quote:
Originally Posted by petrescu
grazie mille...ora provo...se non ce la faccio non mi creo problemi: format C: e via ;)
le cose buone tra quelle segnalate sono activeX per webcam e nanoscan
tutte le altre non so che siano.
a me mi ha insospettito proprio l'ultimo file da te segnalato che è comparso stranamente ieri dopo aver visitato un sito che google bloccava (maledetto a me)


Se non ti fai problemi a formattare è la cosa migliore e più sicura x risolvere qualsiasi problema...come vedo che poi hai fatto ;)

Ti ho segnato i due ActiveX per sicurezza, non sapendo se erano stati installati con il tuo consenso.

Occhio quando visiti sti siti un pò sospetti, vacci con i piedi di piombo e vedendo che usi Firefox mettiti l'estensione NoScript...blocca de tutto :D

Alla prossima, bella! :p

_Robbie_ 03-21-2007 12:21 AM

Quote:
Originally Posted by sefirothmorpheus
io direi di fixare anche questa:
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe


questa voce riguarda la scheda grafica Intel...

ma cmq ha risolto tutto con un bel formattone, percui non c'è + nessun problema :D

_Robbie_ 03-21-2007 12:48 AM

Quote:
Originally Posted by yatta
Ciao l'ho installato No Script ... ma ad ogni pagina che apro mi si visualizza il messaggio di blocco ... se su opzioni lo disabilito che succede poi? Un abbraccio Yatta acciderba non posso mettere le faccine ... caratteri... dimensione... mi dici come risolvo? Gli ho dato permetti ... ma non risolvo ... ho tutto bloccato ...Grazie


Ciao Yattina...vediamo un pò...
Quando installi l'estensione NoScript di Firefox ti compare un'iconcina in basso al browser. Ogni volta che ti colleghi a qualche sito, cliccando sull'icona ti fa scegliere svariate voci:

- Permetti gli script globalmente (Cosa da evitare, tranne rare eccezioni)
- Permetti *nomesito* (Questa voce ti permette l'accesso al sito indicato x sempre, senza ogni volte dargli i permessi)
- Permetti *nomesito* temporaneamente (Questa voce ti permette l'accesso al sito indicato solo il tempo in cui tu tieni aperto Firefox, se chiudi il browser e poi lo riapri dovrai riattivare i permessi x vedere il sito)

Quindi ti conviene dare i permessi a tempo indeterminato x quei siti dove tu navighi solitamente. Non ti conviene disabilitare NoScript altrimenti perde tutta la sua efficacia ed è come se non l'avessi :p

Se hai qualche problema specifico posta pure, proviamo almeno a risolvere :)

_Robbie_ 03-21-2007 12:51 AM

Se ne vuoi sapere di più, in lingua inglese, c'è il sito ufficiale di NoScript: Link

Alla prossima ;)


All times are GMT +2. The time now is 01:20 AM.

Powered by: vBulletin Version 3.0.7
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Search Engine Friendly URLs by vBSEO 3.1.0 ©2007, Crawlability, Inc.