[petrescu]

questo il mio log. oggi ho fatto un po' di casini e mi sa che sono infetto.vorrei sapere cosa devo fixare

Code:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\vsnpstd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\GizmoPlugin\GizmoPlugin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\Windows Media Player\WMPNSCFG.exe
C:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Emanuele\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int  ernet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {81B426CF-DF25-4FBB-B4AC-1011A5BBC9A5} - C:\WINDOWS\system32\jkkjjhi.dll
O2 - BHO: (no name) - {A36169CE-ED13-442A-A02D-33E176D88DC5} - C:\WINDOWS\system32\jkkji.dll
O2 - BHO: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\system32\tpgdqvle.dll
O3 - Toolbar: Coolstreaming Tool-Bar v1.0 Toolbar - {bd0e4d83-654e-4213-965b-fcbe887061f4} - C:\Programmi\Coolstreaming_Tool-Bar_v1.0\tbCool.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programmi\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programmi\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programmi\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programmi\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\wncavdxj.dll",setvm
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {53D71A20-15BA-4884-A778-07A75F6049F4} (AudioHandler Class) - http://cam1.east-ayrshire.gov.uk/activex/AMC.cab
O16 - DPF: {5CD4310E-88FB-43C1-BE24-5F3FA9C5C9D1} (KooPlayer Control) - http://www.coolstreaming.us/consolle/webplus/KooPlayer.ocx
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://webcam5.hrz.tu-darmstadt.de/activex/AMC.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{476CBD13-3538-497D-8422-6C85D485AE5D}: NameServer = 212.216.112.112,212.216.172.62
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: jkkji - C:\WINDOWS\system32\jkkji.dll
O20 - Winlogon Notify: jkkjjhi - C:\WINDOWS\SYSTEM32\jkkjjhi.dll
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Gizmo VoIP Service (Gizmo Plugin) - SIPphone, Inc. - C:\Programmi\GizmoPlugin\GizmoPlugin.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programmi\HPQ\Shared\hpqwmi.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

[alma]

http://www.alground.com/site/module...rticle&artid=21
oppure
http://www.ilsoftware.it/articoli.asp?ID=2459
Posta qui:
http://www.hijackthis.de/index.php?langselect=italian
O sefiroth!

[_Robbie_]

Qualcosina effettivamente hai a prima vista di non lecito...soprattutto in C:\windows\system32...ci sono svariati .exe e .dll con nomi random che sono un pò rognosetti da togliere. I primi che mi balzano all'occhio sono:

- O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [Cancella sicuramente]

- O2 - BHO: (no name) - {81B426CF-DF25-4FBB-B4AC-1011A5BBC9A5} - C:\WINDOWS\system32\jkkjjhi.dll [Cancella sicuramente ]

- O2 - BHO: (no name) - {A36169CE-ED13-442A-A02D-33E176D88DC5} - C:\WINDOWS\system32\jkkji.dll [Cancella sicuramente]

- O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\system32\tpgdqvle.dll [Cancella sicuramente]

- O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\wncavdxj.dll",setvm [Ti risulta associato a qualche programma? Altrimenti fixa sicuramente]

- O16 - DPF: {53D71A20-15BA-4884-A778-07A75F6049F4} (AudioHandler Class) - http://cam1.east-ayrshire.gov.uk/activex/AMC.cab [Hai installato qualche ActiveX proveniente da questo sito? Magari per vedere la cam? Altrimenti fixa]

- O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://webcam5.hrz.tu-darmstadt.de/activex/AMC.cab [Come sopra. Hai installato qualche ActiveX proveniente da questo sito? Magari per vedere la cam? Altrimenti fixa]

- O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab [E' la nuova scansione rapida di Panda Sofware a quanto pare, se è quella non fixare]

- O20 - Winlogon Notify: jkkji - C:\WINDOWS\system32\jkkji.dll [Cancella sicuramente, anche se non sarei sicuro se te li fa togliere con HijackThis, nutro poche speranze]

- O20 - Winlogon Notify: jkkjjhi - C:\WINDOWS\SYSTEM32\jkkjjhi.dll [Cancella sicuramente, anche se non sarei sicuro se te li fa togliere con HijackThis, nutro poche speranze]

- O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe [Che razza di roba è? Driver Audio? Programma antipirateria che trovi nei cd/dvd originali e ti impedisce di copiarli autoinstallandosi sul pc? Ti risulta qualcosa del genere? Se è qualcosa installato da te bene, altrimenti cancella, in alcuni siti il file in questione viene segnalato proprio come virus]

Questo è quanto a grandi linee posso aver visto a quest'ora tarda della notte. Spero che a qualcosa ti possa servire, perlomeno per un check-up generale
Cmq analizza il tuo log sul sito che ti ha dato Alma e cerca di fixare le voci che la scansione dà come non sicure (tranne la toolbar di Cool che risulta come applicazione sconosciuta ) e scansiona il pc con Spybot-S&D e/o Ad-Aware se non l'hai già fatto...poi il buon Sephirot ti darà sicuramente una mano


In bocca al lupo, se hai qualche dubbio posta

[petrescu]

grazie mille...ora provo...se non ce la faccio non mi creo problemi: format C: e via
le cose buone tra quelle segnalate sono activeX per webcam e nanoscan
tutte le altre non so che siano.
a me mi ha insospettito proprio l'ultimo file da te segnalato che è comparso stranamente ieri dopo aver visitato un sito che google bloccava (maledetto a me)

[sefirothmorpheus]

tutto corretto...

Quote:

Originally Posted by _Robbie_

Qualcosina effettivamente hai a prima vista di non lecito...soprattutto in C:\windows\system32...ci sono svariati .exe e .dll con nomi random che sono un pò rognosetti da togliere. I primi che mi balzano all'occhio sono:

- O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) [Cancella sicuramente]

- O2 - BHO: (no name) - {81B426CF-DF25-4FBB-B4AC-1011A5BBC9A5} - C:\WINDOWS\system32\jkkjjhi.dll [Cancella sicuramente ]

- O2 - BHO: (no name) - {A36169CE-ED13-442A-A02D-33E176D88DC5} - C:\WINDOWS\system32\jkkji.dll [Cancella sicuramente]

- O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\system32\tpgdqvle.dll [Cancella sicuramente]

- O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\wncavdxj.dll",setvm [Ti risulta associato a qualche programma? Altrimenti fixa sicuramente]

- O16 - DPF: {53D71A20-15BA-4884-A778-07A75F6049F4} (AudioHandler Class) - http://cam1.east-ayrshire.gov.uk/activex/AMC.cab [Hai installato qualche ActiveX proveniente da questo sito? Magari per vedere la cam? Altrimenti fixa]

- O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab [E' la nuova scansione rapida di Panda Sofware a quanto pare, se è quella non fixare]

- O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://webcam5.hrz.tu-darmstadt.de/activex/AMC.cab [Come sopra. Hai installato qualche ActiveX proveniente da questo sito? Magari per vedere la cam? Altrimenti fixa]

- O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab [E' la nuova scansione rapida di Panda Sofware a quanto pare, se è quella non fixare]

- O20 - Winlogon Notify: jkkji - C:\WINDOWS\system32\jkkji.dll [Cancella sicuramente, anche se non sarei sicuro se te li fa togliere con HijackThis, nutro poche speranze]

- O20 - Winlogon Notify: jkkjjhi - C:\WINDOWS\SYSTEM32\jkkjjhi.dll [Cancella sicuramente, anche se non sarei sicuro se te li fa togliere con HijackThis, nutro poche speranze]

- O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe [Che razza di roba è? Driver Audio? Programma antipirateria che trovi nei cd/dvd originali e ti impedisce di copiarli autoinstallandosi sul pc? Ti risulta qualcosa del genere? Se è qualcosa installato da te bene, altrimenti cancella, in alcuni siti il file in questione viene segnalato proprio come virus]

io direi di fixare anche questa:
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

scusa il ritardo di risposta... ma sono praticamente senza rete a casa!

[petrescu]

grazie a tutti e 2, ma non sono riuscito a risolvere.
ieri, nonstante gli avvisi di google, sono andato su un sito ed è impazzito il pc.
la scheda video dava i numeri ogni 2 secondi, firefox crashava sempre...
vi scrivo da pc appena formattato

[_Robbie_]

Quote:

Originally Posted by petrescu

grazie mille...ora provo...se non ce la faccio non mi creo problemi: format C: e via
le cose buone tra quelle segnalate sono activeX per webcam e nanoscan
tutte le altre non so che siano.
a me mi ha insospettito proprio l'ultimo file da te segnalato che è comparso stranamente ieri dopo aver visitato un sito che google bloccava (maledetto a me)

Se non ti fai problemi a formattare è la cosa migliore e più sicura x risolvere qualsiasi problema...come vedo che poi hai fatto

Ti ho segnato i due ActiveX per sicurezza, non sapendo se erano stati installati con il tuo consenso.

Occhio quando visiti sti siti un pò sospetti, vacci con i piedi di piombo e vedendo che usi Firefox mettiti l'estensione NoScript...blocca de tutto

Alla prossima, bella!

[_Robbie_]

Quote:

Originally Posted by sefirothmorpheus

io direi di fixare anche questa:
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

questa voce riguarda la scheda grafica Intel...

ma cmq ha risolto tutto con un bel formattone, percui non c'è + nessun problema

[_Robbie_]

Quote:

Originally Posted by yatta

Ciao l'ho installato No Script ... ma ad ogni pagina che apro mi si visualizza il messaggio di blocco ... se su opzioni lo disabilito che succede poi? Un abbraccio Yatta acciderba non posso mettere le faccine ... caratteri... dimensione... mi dici come risolvo? Gli ho dato permetti ... ma non risolvo ... ho tutto bloccato ...Grazie

Ciao Yattina...vediamo un pò...
Quando installi l'estensione NoScript di Firefox ti compare un'iconcina in basso al browser. Ogni volta che ti colleghi a qualche sito, cliccando sull'icona ti fa scegliere svariate voci:

- Permetti gli script globalmente (Cosa da evitare, tranne rare eccezioni)
- Permetti *nomesito* (Questa voce ti permette l'accesso al sito indicato x sempre, senza ogni volte dargli i permessi)
- Permetti *nomesito* temporaneamente (Questa voce ti permette l'accesso al sito indicato solo il tempo in cui tu tieni aperto Firefox, se chiudi il browser e poi lo riapri dovrai riattivare i permessi x vedere il sito)

Quindi ti conviene dare i permessi a tempo indeterminato x quei siti dove tu navighi solitamente. Non ti conviene disabilitare NoScript altrimenti perde tutta la sua efficacia ed è come se non l'avessi

Se hai qualche problema specifico posta pure, proviamo almeno a risolvere

[_Robbie_]

Se ne vuoi sapere di più, in lingua inglese, c'è il sito ufficiale di NoScript: Link

Alla prossima