NoTrace Security Forum

NoTrace Security Forum
Home | Discussioni Attive | Discussioni Recenti | Segnalibro | Msg privati | Utenti | Download | cerca | faq | RSS | Security Chat
Nome Utente:
 Password:
Salva Password
Password Dimenticata?

 Tutti i Forum
 Virus
 Computer Virus
 DIALER NASCOSTISSIMO!		  Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
I seguenti utenti stanno leggendo questo Forum Qui c'è:
Pagina Precedente
Autore Discussione Precedente Discussione Discussione Successiva
Pagina: di 2

steve22
New Member



46 Messaggi

Inserito il - 26/11/2005 : 20:00:00  Mostra Profilo
Volevo ringraziare tutti x l'aiuto, ora non mi si disconnette piu, però un altro pc che ho a casa mi si disconnette in modo anomalo. vi mando il log di hijackthis di quel pc sperando nella vostra gentilezza.
Ciao a Tutti! steve




Logfile of HijackThis v1.99.1
Scan saved at 20.00.38, on 26/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Steve\Desktop\Glass2k.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\Steve\Local Settings\Temp\Temporary Directory 5 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htt*://[www].*******.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Glass2k] C:\Documents and Settings\Steve\Desktop\Glass2k.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Torna all'inizio della Pagina

n/a
deleted

Città: eh eh ti piacerebbe saperlo


2419 Messaggi
Inserito il - 26/11/2005 : 23:56:23  Mostra Profilo
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe

uno di questi due è un falso...

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

questo è il solito messenger rompi bolle che devi togliere dal background

cmq fai le scansioni solite che hai fatto per il pc che adesso è sano anche su questo....i link sono sopra se non sbaglio..sopratutto bitdefender..

dopo riposta un log..

ciaoooo
Torna all'inizio della Pagina

steve22
New Member



46 Messaggi
Inserito il - 27/11/2005 : 02:53:11  Mostra Profilo
Ma cm faccio a sapere quale dei due è falso?
Torna all'inizio della Pagina

Yves
Moderatore


Città: Buenos Aires


6097 Messaggi
Inserito il - 27/11/2005 : 03:09:42  Mostra Profilo
Non credo che ce ne sia uno falso (hanno la stessa identica sorgente), penso piuttosto che il buon winzoz lo carichi due volte, cosa non sono riuscito a capire è a quale applicativo si rivolge, io direi di tentare con start -> esegui -> digita "msconfig" e in "avvio" cerca quella voce, forse ce ne sono due...togli lo spunto e riavvii il PC. al riavvio metti lo spunto su "non rompere più" sulla finestra grigia minacciosa e prova se è tutto normale, facendo un log di HiJackThis ti accorgerai subito se c'è stato un cambiamento, se si e tutto funziona correttamente lascia com'è, altrimenti con la stessa procedura e rimettendo lo spunto alla voce torna come prima.

Ciao.
Torna all'inizio della Pagina

n/a
deleted



1470 Messaggi
Inserito il - 27/11/2005 : 09:01:18  Mostra Profilo
Scarica questi programmi e disinstalla AVG

RegSeeker
Ad Aware SE
BitDefender 7.2
AntiVir PE
SpyBot S&D 1.4
SpywareBlaster 3.2
Outpost firewall 1.0

Installali e aggiornali (Outpost installalo a fine pulizia)

Riavvia dalla provvisoria,disabilita ripristino di configurazione ,visualizza file e cartelle di sistema.
Per le istruzioni vai quì

Lancia una scansione con Spyboot S&D

Queste voci le devi togliere dai processi di avvio sono superflue vai su Start - Esegui e digita msconfig, vai nella linguetta Avvio,e togli la spunta ai programmi quì sotto

C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe

C:\Documents and Settings\Steve\Desktop\Glass2k.exe
questa chiamata non è conosciuta in nessun DB se la vuoi tenere !! vedi tè

poi lancia HJK e fixa queste voci

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/300
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O4 - HKLM\..\Run: [Glass2k] C:\Documents and Settings\Steve\Desktop\Glass2k.exe
se non la conosci fixala

(quelle sottolineate sono infette)

Lancia regedit e cerca questi file nelle chiavi quì sotto

C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

cliccando sulla chiave nel pannello di Sx guarda se nel pannello di Dx trovi wuauclt.exe se lo trovi sempre nel pannello di Dx fai clik col tasto Dx sulla stringa e ti compare un menù scegli Elimina e dai Invio

esci da regedit

Vai su Start - Esegui e digita cmd e premi invio
Nella finestra che ti compare (è tutta nera) digita cd\ e invio
dopo digita cd windows\system32 e invio
digita del wuauclt.exe

chiudi ora la finestra del prompt

Svuota il cestino, i cookies e i file temporanei.
Riavvia il sistema

Lancia una scansione con AntiVir PE
Lancia una scansione con Ad Aware
Lancia una scansione con Bitdefender
Lancia Regseeker per pulire il regedit seleziona tutte le voci ed eliminale

fatto questo posta un'altro log di HJK.

PS. disinstalla Messenger se proprio lo vuoi usare usa quello via web
Torna all'inizio della Pagina
Pagina: di 2 Discussione Precedente Discussione Discussione Successiva  
Pagina Precedente

 Forum Bloccato
 Versione Stampabile Bookmark this Topic Aggiungi Segnalibro
Vai a:
NoTrace Security Forum
 © Nazzareno Schettino
RSS NEWS 		Torna all'inizio della Pagina
Pagina generata in 0,2 secondi. TargatoNA | SuperDeeJay | Snitz Forums 2000