aiuto

[morg79]

e chi lo sa...ho scaricato quel hijackthis...sul desktop è uscita una icona tipo una dinamite,l'ho aperta ed ho eseguito le cose che mi ha detto lancetta.è uscito un log che ora ho sul desktop ma non me lo fa copiare e incollare qui.forse ci vuole un'altra procedura?mi vergogno di essere cosi asina!cmq ho anche eseguito regedit ma navigando ho visto che le voci in neretto explorer.exe e iexplorer.exe non ci sono...oddio che panico!!!

[Mazda RX8]

Quote:

Originariamente inviato da morg79

e chi lo sa...ho scaricato quel hijackthis...sul desktop è uscita una icona tipo una dinamite,l'ho aperta ed ho eseguito le cose che mi ha detto lancetta.è uscito un log che ora ho sul desktop ma non me lo fa copiare e incollare qui.forse ci vuole un'altra procedura?mi vergogno di essere cosi asina!cmq ho anche eseguito regedit ma navigando ho visto che le voci in neretto explorer.exe e iexplorer.exe non ci sono...oddio che panico!!!

apri il log e fai modifica--->seleziona tutto--->CTRL+C

poi incolli qua...

[morg79]

Logfile of HijackThis v1.99.1
Scan saved at 13.23.47, on 15/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\service32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\net32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\Program Files\GlobespanVirata\Adsl\dslstat.exe
C:\Programmi\Google\Google Updater\GoogleUpdater.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Admin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programmi\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programmi\File comuni\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programmi\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [ScanSoft OmniPage SE 4.0-reminder] "C:\Programmi\ScanSoft\OmniPageSE4.0\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dati applicazioni\ScanSoft\OmniPageSE4.0\Ereg\ereg.ini"
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Google Updater.lnk = C:\Programmi\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A7224F88-D272-4253-98BA-831A26B7C022}: NameServer = 212.216.112.112 212.216.172.62
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe

[Mazda RX8]

fixa qsti:

C:\WINDOWS\service32.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

sto coso ke è?? O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE ||| O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

[morg79]

cmq quello due voci in neretto non ci sono e poi stamattina ho notato un particolare inquietante.a connessioni di rete c'erano due icone uguali del modem..una normale e l'altra aveva un numero di tel diverso.ed a un certo punto è venuta fuori una schermata connection che non era la solita e aveva una bocca.forse questa informazione puo essere utile

[morg79]

fixa in che senso?e poi non so cosa sia cio che mi chiedi...ho solo eseguito alla lettera....scusami,mi vergogno da morire...io sono una scrittrice,non capisco nulla di queste cose

[Mazda RX8]

Quote:

Originariamente inviato da morg79

cmq quello due voci in neretto non ci sono e poi stamattina ho notato un particolare inquietante.a connessioni di rete c'erano due icone uguali del modem..una normale e l'altra aveva un numero di tel diverso.ed a un certo punto è venuta fuori una schermata connection che non era la solita e aveva una bocca.forse questa informazione puo essere utile

hai ADSL?

[morg79]

si.ho adsl

[Mazda RX8]

Quote:

Originariamente inviato da morg79

fixa in che senso?e poi non so cosa sia cio che mi chiedi...ho solo eseguito alla lettera....scusami,mi vergogno da morire...io sono una scrittrice,non capisco nulla di queste cose

nn ti preoccupare...

cmq hai presente dove c'è scritto FIX?? prima tu selezioni le stringhe ke ti ho detto e poi ammakki quel bottone

[morg79]

mi sento sempre piu scema..quasi quasi continuo ascrivere a mano che è meglio.cmq..le due stringhe le devo selezionare dal mio log o da dove le hai scritte tu?e quale bottone?scusami...se riesci ad aiutare una mongola come me penso che ti faranno na statua....

[Mazda RX8]

Quote:

Originariamente inviato da morg79

mi sento sempre piu scema..quasi quasi continuo ascrivere a mano che è meglio.cmq..le due stringhe le devo selezionare dal mio log o da dove le hai scritte tu?e quale bottone?scusami...se riesci ad aiutare una mongola come me penso che ti faranno na statua....

ma xké ti offendi??

cmq li devi selezionare dal programma...

[Riverside]

Quote:

Originariamente inviato da Mazda RX8

nn ti preoccupare...
cmq hai presente dove c'è scritto FIX?? prima tu selezioni le stringhe ke ti ho detto e poi ammakki quel bottone

Falle prima disattivare il Ripristino configurazione di sitema, Mazda.
Poi, prima di fixare quelle voci, falle scaricare:
PANDA ANTIROOTKIT: clicca qui per il download
Non è necessaria l'installazione (è un tool stand-alone); una volta lanciato, si aggiorna in automatico ed esegue la scansione (ovviamente rimuove tutti gli eventuali rootkit che rileva).
Finita questa parte, deve ripubblicare un nuovo log di HThis.

[Mazda RX8]

Quote:

Originariamente inviato da Riverside

Falle prima disattivare il Ripristino configurazione di sitema, Mazda.

vero...

va bè, sarà già disattivato da un virus...

[Riverside]

Quote:

Originariamente inviato da Mazda RX8

vero... va bè, sarà già disattivato da un virus...

Non credo, socio .... comunque seguo il thread anche se sono sicuro che riuscirete a cavarvela (altrimenti, se Lancetta ti fulmina lo Spinterogeno tool io ti sego, tutti gli iniettori tool e ti lascio a piedi )

[Mazda RX8]

Quote:

Originariamente inviato da Riverside

Non credo, socio .... comunque seguo il thread anche se sono sicuro che riuscirete a cavarvela (altrimenti, se Lancetta ti fulmina lo Spinterogeno tool io ti sego, tutti gli iniettori tool e ti lascio a piedi )

io penso di si, socio...

[morg79]

ragazzi.era caduta la linea e non riuscivo a connettermi piu.secondo me qulla seconda icona connection la devo levare,mi sebra strana perchè quando mi esce ci sono le fatidiche labbra.cmq mi auto offendo perchè conosco i miei limiti...e infatti da brava ciuccia vi chiedoer preogramma intendi quello che ho scaricato all'inizio o che?e quale bottone?devo farlo subito o prima eseguo cio che dice il tuo collega?sto inguaiata!

[morg79]

ragazzi..io ora devo andare a un funerale purtroppo.vi prego di avere pazienza con me,sono davvero alle prime armi..se potete datemi na mano.vi ringrazio veramente.a dopo

[juninho85]

questa roba del dialer con le labbra e roba vecchia ormai,strano che non lo abbiano implementato nelle firme virali
esegui avenger con questo script:

Quote:

Files to delete:
C:\WINDOWS\svchost.exe
C:\WINDOWS\ctfmon32.dll
C:\WINDOWS\iexplorer32.dll
C:\WINDOWS\iexplorre32.dll
C:\WINDOWS\lsas32.dll
C:\WINDOWS\mdm32.dll
C:\WINDOWS\omsnlog.dll
C:\WINDOWS\scrss32.dll
C:\WINDOWS\spoolvs32.dll
C:\WINDOWS\sys32exploer.dll
C:\WINDOWS\syshost.dll
C:\WINDOWS\syst32.dll
C:\WINDOWS\winsmgr32.dll
C:\WINDOWS\service32.exe
C:\WINDOWS\svchost.dll
C:\WINDOWS\csrs.exe
C:\WINDOWS\csrss.dll
C:\WINDOWS\system32\xpdx.sys
C:\WINDOWS\423523298.exe
C:\Documents and Settings\utente\Impostazioni Locali\Temp\spoolsv32.exe
Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run|5T19I3B27A

[lancetta]

@Mazda:Lanetta? "t'eggia accirere"! (a proposito di dove sei?...quell'"ammakki" mi suona familiare

@Riverside:ormai sei un "msnvirusdipendente" ...Avevo fatto controllare le 2 chiavi in questione,poichè con la pulitura sarebbero scomparse le icone sul desk...ed a morg79 sarebbe venuta un mezzo infarto Comunque già il fatto che non ci siano è buona cosa

Allora cara morg79,vista la tua poca familiarità in queste cose cerchiamo di fare in automatico,se possibile,
Prima cosa:tranquilla che si risolve
Seconda cosa:.....Procediamo....
Disattiva ripristino configurazione di sistema: start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok

Cominciamo provando con questo:
scarica elistarA http://www.zonavirus.com/datos/desca...8/elistara.asp in fondo alla pagina Descargar ElistarA
lancialo, ti farà tre domande all'inizio,rispondi si tranne alla seconda, dopo di chè fagli fare una scansione (Explorar) ..quando termina rilascia un log infosat.txt in C: (ovvero clicchi su risorse del computer e poi su "disco locale c" e troverai un file txt come quello di hijackthis,non devi fare altro che copiarlo qui,visto che ormai hai imparato come si fà )

Poi scarica Panda Antirootkit
decomprimi il file Zip, sul desktop
eseguilo(da amministratore del pc) stando connesso, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.Fai sapere se ha rimosso qualcosa.

Poi nuovo log di hijackthis.

[lancetta]

Quote:

Originariamente inviato da lancetta

@Mazda:Lanetta? "t'eggia accirere"! (a proposito di dove sei?...quell'"ammakki" mi suona familiare

@Riverside:ormai sei un "msnvirusdipendente" ...Avevo fatto controllare le 2 chiavi in questione,poichè con la pulitura sarebbero scomparse le icone sul desk...ed a morg79 sarebbe venuta un mezzo infarto Comunque già il fatto che non ci siano è buona cosa

Allora cara morg79,vista la tua poca familiarità in queste cose cerchiamo di fare in automatico,se possibile,
Prima cosa:tranquilla che si risolve
Seconda cosa:.....Procediamo....
Disattiva ripristino configurazione di sistema: start--> pannello di controllo--> sistema--> ripristino config--> spuntare la casella disattiva--> applica--> ok

Cominciamo provando con questo:
scarica elistarA http://www.zonavirus.com/datos/desca...8/elistara.asp in fondo alla pagina Descargar ElistarA
lancialo, ti farà tre domande all'inizio,rispondi si tranne alla seconda, dopo di chè fagli fare una scansione (Explorar) ..quando termina rilascia un log infosat.txt in C: (ovvero clicchi su risorse del computer e poi su "disco locale c" e troverai un file txt come quello di hijackthis,non devi fare altro che copiarlo qui,visto che ormai hai imparato come si fà )

Poi scarica Panda Antirootkit
decomprimi il file Zip, sul desktop
eseguilo(da amministratore del pc) stando connesso, dovrebbe aggiornarsi automaticamente, dopodichè partirà una scansione per verificare la presenza,di eventuali rootkit, sul P.C. ed eseguire eventuali pulizie.Fai sapere se ha rimosso qualcosa.

Poi nuovo log di hijackthis.

Edit: non avevo controllato il log hijackthis c'è questa voce sospetta

Quote:

C:\WINDOWS\net32.exe

Potresti farla analizzare QUI e ci riporti(sempre col metodo del copia incolla) il log che ti rilascerà il sito.