PDA

Visualizza versione completa : Log HiJackThis


joke2k
06-01-2007, 18.08.44
E' la prima volta che lo faccio, quindi non riesco a capire se è tutto apposto.
Ad una prima analisi sembra di si, quindi magari si può provare ad ottimizzare togliendo qualche cosa di poco utile....

secondo voi?

Logfile of HijackThis v1.99.1
Scan saved at 17.10.47, on 06/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programmi\Babylon\Babylon.exe
C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe
C:\Programmi\DAEMON Tools\daemon.exe
C:\Programmi\Tech\Office Program Selector\2.0\ACROMAPP.exe
C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programmi\Apache Group\Apache2\bin\Apache.exe
C:\Programmi\MySQL\MySQL Server 4.1\bin\mysqld-nt.exe
C:\WINDOWS\System32\snmp.exe
C:\Programmi\VMware\VMware Player\vmware-authd.exe
C:\Programmi\File comuni\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
D:\Applicazioni\StandAlone\firefox\firefox.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Spybot - Search & Destroy\SpybotSD.exe
D:\Applicazioni\StandAlone\HiJackThis\HijackThis.e xe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Class - {D4C2C8AE-AC8B-0E73-7951-E8CBE1331FB1} - C:\WINDOWS\tkwmm1.dll (file missing)
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programmi\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [tlye1.exe] C:\WINDOWS\TEMP\tlye1.exe
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programmi\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ACROMOUSE] C:\Programmi\Tech\Office Program Selector\2.0\ACROMAPP.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\RunOnce: [megauploadtoolbar] C:\DOCUME~1\Joke2k\IMPOST~1\Temp\tbuninstall.exe -df "C:\Programmi\MegauploadToolbar\"
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Monitor Apache Servers.lnk = C:\Programmi\Apache Group\Apache2\bin\ApacheMonitor.exe
O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Programmi\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15026/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15026/CTPID.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apache2 - Unknown owner - C:\Programmi\Apache Group\Apache2\bin\Apache.exe" -k runservice (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: MySQL - Unknown owner - C:\Programmi\MySQL\MySQL.exe (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programmi\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programmi\File comuni\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

crazy.cat
06-01-2007, 18.37.13
Una bella rogna c'è, il virus gromozon
http://www.wintricks.it/manuali/gromozon.html
Comincia a fare le scansioni con il tools della prevx e virit

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {D4C2C8AE-AC8B-0E73-7951-E8CBE1331FB1} - C:\WINDOWS\tkwmm1.dll (file missing)
O4 - HKLM\..\Run: [tlye1.exe] C:\WINDOWS\TEMP\tlye1.exe

Da eliminare
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O4 - HKLM\..\RunOnce: [megauploadtoolbar] C:\DOCUME~1\Joke2k\IMPOST~1\Temp\tbuninstall.exe -df "C:\Programmi\MegauploadToolbar\"

Poco utili in fase di avvio, dipende sempre dall'uso che ne fai (babylon per esempio)
O4 - HKLM\..\Run: [Babylon Client] C:\Programmi\Babylon\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

joke2k
06-01-2007, 19.25.34
Io grazie ad virIT l'avevo risolto... quel problema, non è che questi hanno deciso di andare alla ribalta inventandosi gromosom?
Che sospettoso che sono, ma ormai è leggenda che tutte le case di antivirus fanno così ^__^

Considera... io avevo gromosom, ho installato virIT che mel'ha tolto, e ora che l'ho disinstallato... me lo riprendo di nuovo... bhà... o forse semplicemente il mio pc non è protetto.

Per disattivarne l'avvio...

O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O4 - HKLM\..\RunOnce: [megauploadtoolbar] C:\DOCUME~1\Joke2k\IMPOST~1\Temp\tbuninstall.exe -df "C:\Programmi\MegauploadToolbar\"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

come faccio?

crazy.cat
06-01-2007, 19.35.13
Puoi usare lo stesso hijackthis, metti il flag nella casella di ogni rga e poi premi fix.
Se per caso ti servisse qualcuno dei programmi tolti c'è il backup da ci recuperarlo.

joke2k
06-01-2007, 20.59.21
per quanto riguarda gromozom, non dovrei averlo.
Ho fatto partire tutti i tool possibili ed immaginabili in modalità provvisoria, e tutti mi hanno dato esito negativo.

Se rimuovo queste voci con HjackThis e basta?

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {D4C2C8AE-AC8B-0E73-7951-E8CBE1331FB1} - C:\WINDOWS\tkwmm1.dll (file missing)
O4 - HKLM\..\Run: [tlye1.exe] C:\WINDOWS\TEMP\tlye1.exe