Log Hijackthis: rimozione malware

In questa sezione del forum si parla di sicurezza, soluzioni antivirus, firewall, problematiche relative a malware in generale

Moderatore: Staff forum IlSoftware.it

Log Hijackthis: rimozione malware

Messaggiodi gian81 » 04 mag 2007 15:34

Ciao a tutti ragazzi, mio zio mi ha chiamato per fare un poco di ordine sul suo pc, nn ha nessun antivirus e questo è il risultato:

La strada sarà lunga e faticosa ma se formatassi tutto sarebbe una sconfitta quindi vi chiedo di darmi una mano a risolvere questa mega galassia di virus.
Grazie.

Vi posto il log Hijackthis:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 16.10.12, on 04/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\svehost.exe
C:\WINDOWS\system32\stats1.exe
C:\programmi\winantispyware 2006 scanner\was6.exe
C:\WINDOWS\system32\clcl7.exe
C:\WINDOWS\system\1\svchost.exe
C:\WINDOWS\svchost.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\algsrvs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\File comuni\Microsoft Shared\Windows Live\WLLoginProxy.exe
E:\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://it.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://it.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.it/0SEITIT/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=
O1 - Hosts: 69.41.180.198 AUTO.SEARCH.MSN.COM
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-000000000000} - C:\Documents and Settings\Administrator\54135217.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Documents and Settings\Administrator\419143512.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ImInstaller_IncrediMail] C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\ImInstaller\IncrediMail\incredimail_install[1].exe -startup -product IncrediMail
O4 - HKLM\..\Run: [Winsystems] C:\WINDOWS\system32\Winsysten\tutto-gratis.EXE -d
O4 - HKLM\..\Run: [WinMsg] C:\WINDOWS\winmsgr.exe
O4 - HKLM\..\Run: [Intel system tool] C:\WINDOWS\system32\svehost.exe
O4 - HKLM\..\Run: [stats1] C:\WINDOWS\system32\stats1.exe
O4 - HKLM\..\Run: [WinAntiSpyware 2006 Scanner] "c:\programmi\winantispyware 2006 scanner\was6.exe" /min
O4 - HKLM\..\Run: [Error Safe] C:\Programmi\Error Safe\ers.exe /min
O4 - HKLM\..\Run: [clcl7] C:\WINDOWS\system32\clcl7.exe
O4 - HKLM\..\Run: [Svcs: Dnscache] C:\WINDOWS\system\1\svchost.exe
O4 - HKLM\..\Run: [IMJPMIG8.2] msime82.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ErrorSafeFree] "C:\Programmi\ErrorSafe Free\uers.exe" /min
O4 - HKCU\..\Run: [MsServer] msfun80.exe
O4 - HKLM\..\Policies\Explorer\Run: [1] C:\WINDOWS\systpro32.exe
O4 - HKCU\..\Policies\Explorer\Run: [SYSTEM] C:\WINDOWS\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programmi\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Winsystems - {C7E341C1-655B-48EB-9FCC-5B56B4A96121} - C:\WINDOWS\system32\WINSYS~1\TUTTO-~1.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O15 - Trusted Zone: *.archiviosex.net
O15 - Trusted Zone: http://www.otherchance.com
O15 - Trusted Zone: *.otherchance.com
O15 - Trusted Zone: *.realsearch.cc
O15 - Trusted Zone: *.whatsnew.name
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: Servizio nomi files (srvflsn) - Unknown owner - C:\WINDOWS\Downlo~1\mxm5re6\ycfby.exe (file missing)

--
End of file - 6403 bytes
gian81
Junior Software
Junior Software
 
Messaggi: 53
Iscritto il: 10 set 2006 09:45

Messaggiodi BilloKenobi » 04 mag 2007 18:44

la vedo dura solo con hijackthis

Scarica systemscan, estrailo, avvialo, metti la spunta a tutte le voci e premi "Scan". poi vai su www.easy-share.com e metti lì il suo log (che trovi in C:\suspectfile\report.txt). poi dacci il link per scaricarlo (solo quello per scaricarlo, non quello per eliminarlo dal sito di hosting)
Begun the Clone War has

Sì sì, mi hanno fatto redattore --- SuspectFile
Avatar utente
BilloKenobi
Junior Software
Junior Software
 
Messaggi: 118
Iscritto il: 06 lug 2006 17:31

Messaggiodi ilikedreams » 08 mag 2007 07:42

Non riesco a scaricare sys35917.exe dal link specificato! Ho provato anche disattivando il blocco pop up ma niente da fare..la prima volta che clicco sul link interviene il controllo di direct che mi dice che se voglio scaricare il file devo fare click sulla barra e confermare la mia volontà di scaricare sys35917.exe ma quando la pagina si ricarica c'è un messaggio di errore che mi dice di disattivare il blocco pop up oppure di riprovare..
ilikedreams
Beginner Software
Beginner Software
 
Messaggi: 35
Iscritto il: 03 apr 2007 08:11
Località: Medole (MN)

Messaggiodi ilikedreams » 08 mag 2007 07:53

problema risolto
ilikedreams
Beginner Software
Beginner Software
 
Messaggi: 35
Iscritto il: 03 apr 2007 08:11
Località: Medole (MN)


Torna a Sicurezza e antivirus

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti

cron