PDA

Visualizza versione completa : rimozione skymasters,biz


pikagi
07-12-2005, 08.37.30
senza ulteriori commenti allego ultimo log di hjiack

ogfile of HijackThis v1.99.1
Scan saved at 8.29.44, on 07/12/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\SERVICES.EXE
C:\Documents and Settings\EDONAUTA\Documenti\hjiack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/indexbb.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer :: Powered by WinTricks
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [Spy Watcher] "C:\PROGRA~1\FREESP~1\SpyWatcher.exe" -S
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: WT » apri link in background « - C:\PROGRA~1\WINTRI~1\wt_openback.htm
O8 - Extra context menu item: WT » apri nuova finestra IE - C:\PROGRA~1\WINTRI~1\wt_ie.htm
O8 - Extra context menu item: WT » cerca con Google - C:\PROGRA~1\WINTRI~1\wt_google.htm
O8 - Extra context menu item: WT » cerca News - C:\PROGRA~1\WINTRI~1\wt_news.htm
O8 - Extra context menu item: WT » cerca Software - C:\PROGRA~1\WINTRI~1\wt_software.htm
O8 - Extra context menu item: WT » cerca su WinTricks - C:\PROGRA~1\WINTRI~1\wt_cercawt.htm
O8 - Extra context menu item: WT » cerca sul dizionario Garzanti - C:\PROGRA~1\WINTRI~1\wt_garzanti.htm
O8 - Extra context menu item: WT » cerca sul Forum di WinTricks - C:\PROGRA~1\WINTRI~1\wt_cercaforum.htm
O8 - Extra context menu item: WT » traduci Inglese -> Italiano - C:\PROGRA~1\WINTRI~1\wt_lycos.htm
O8 - Extra context menu item: WT » traduci tutta la pagina - C:\PROGRA~1\WINTRI~1\wt_lycos_url.htm
O8 - Extra context menu item: WT » vai su WinTricks - C:\PROGRA~1\WINTRI~1\wt_home.htm
O8 - Extra context menu item: WT » vai sul Forum di WinTricks - C:\PROGRA~1\WINTRI~1\wt_forum.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programmi\IrfanView\Ebay\Ebay.htm
O9 - Extra button: WinTricks - {F6FE5D00-8F11-11d2-804F-00105A133818} - http://www.wintricks.it/ (file missing)
O9 - Extra 'Tools' menuitem: WinTricks Home - {F6FE5D00-8F11-11d2-804F-00105A133818} - http://www.wintricks.it/ (file missing)
O9 - Extra button: Forum - {F6FE5D01-8F11-11d2-804F-00105A133818} - http://www.wintricks.it/forum/index.php?s= (file missing)
O9 - Extra 'Tools' menuitem: WinTricker's Forum - {F6FE5D01-8F11-11d2-804F-00105A133818} - http://www.wintricks.it/forum/index.php?s= (file missing)
O9 - Extra button: News - {F6FE6E01-8F11-11d2-804F-00105A133818} - C:\WINDOWS\System32\shdocvw.dll
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/185ba978055cd18d7522/netzip/RdxIE601_it.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

so già che devo eliminare le voci 015 di trusted zone che si sono riformate dopo l'apertura del pc... quanto lo avevo avviamto imn modalitè provvisoria erano scomparse... credo ci siamo problemi con services.exe
grazie a tutti

Lionsquid
07-12-2005, 11.04.45
sei infetto ed è caricato come servizio in avvio ... dammi qualche minuto che ti dico quali

(hai azzeccato... services.exe in win.ini è un processo maligno)

Lionsquid
07-12-2005, 11.11.28
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\SERVICES.EXE
C:\Documents and Settings\EDONAUTA\Documenti\hjiack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/oggi/indexbb.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer :: Powered by WinTricks
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\SERVICES.EXE
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WIND OWS\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - C:\Programmi\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [eBayToolbar] C:\Programmi\eBay\eBay Toolbar2\eBayTBDaemon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmi\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmi\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [Spy Watcher] "C:\PROGRA~1\FREESP~1\SpyWatcher.exe" -S
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programmi\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar1.dll/cmtrans.html
O8 - Extra context menu item: WT » apri link in background « - C:\PROGRA~1\WINTRI~1\wt_openback.htm
O8 - Extra context menu item: WT » apri nuova finestra IE - C:\PROGRA~1\WINTRI~1\wt_ie.htm
O8 - Extra context menu item: WT » cerca con Google - C:\PROGRA~1\WINTRI~1\wt_google.htm
O8 - Extra context menu item: WT » cerca News - C:\PROGRA~1\WINTRI~1\wt_news.htm
O8 - Extra context menu item: WT » cerca Software - C:\PROGRA~1\WINTRI~1\wt_software.htm
O8 - Extra context menu item: WT » cerca su WinTricks - C:\PROGRA~1\WINTRI~1\wt_cercawt.htm
O8 - Extra context menu item: WT » cerca sul dizionario Garzanti - C:\PROGRA~1\WINTRI~1\wt_garzanti.htm
O8 - Extra context menu item: WT » cerca sul Forum di WinTricks - C:\PROGRA~1\WINTRI~1\wt_cercaforum.htm
O8 - Extra context menu item: WT » traduci Inglese -> Italiano - C:\PROGRA~1\WINTRI~1\wt_lycos.htm
O8 - Extra context menu item: WT » traduci tutta la pagina - C:\PROGRA~1\WINTRI~1\wt_lycos_url.htm
O8 - Extra context menu item: WT » vai su WinTricks - C:\PROGRA~1\WINTRI~1\wt_home.htm
O8 - Extra context menu item: WT » vai sul Forum di WinTricks - C:\PROGRA~1\WINTRI~1\wt_forum.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programmi\IrfanView\Ebay\Ebay.htm
O9 - Extra button: WinTricks - {F6FE5D00-8F11-11d2-804F-00105A133818} - http://www.wintricks.it/ (file missing)
O9 - Extra 'Tools' menuitem: WinTricks Home - {F6FE5D00-8F11-11d2-804F-00105A133818} - http://www.wintricks.it/ (file missing)
O9 - Extra button: Forum - {F6FE5D01-8F11-11d2-804F-00105A133818} - http://www.wintricks.it/forum/index.php?s= (file missing)
O9 - Extra 'Tools' menuitem: WinTricker's Forum - {F6FE5D01-8F11-11d2-804F-00105A133818} - http://www.wintricks.it/forum/index.php?s= (file missing)
O9 - Extra button: News - {F6FE6E01-8F11-11d2-804F-00105A133818} - C:\WINDOWS\System32\shdocvw.dll
O15 - Trusted Zone: www.archiviosex.net
O15 - Trusted Zone: www.redfunny.com
O15 - Trusted Zone: www.skymasters.biz
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/185ba978055cd18d7522/netzip/RdxIE601_it.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

pikagi
07-12-2005, 11.39.12
ti ringrazio molto non appena sarò a casa effettuerò le modifiche... ovviamente da fare in modalità provvisoria.... presumo che le voci in arancione sono in dubbio ( relative a winamp e nero) che faccio cancello ? Considera che sono programmi che normalmente utilizzo
Ciao e grazie anticipato

crazy.cat
07-12-2005, 12.13.15
anche queste sono da togliere

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

Le voci in arancione sono programmi caricati all'avvio, ma in realtà sono inutili, il programma funziona bene lo stesso ma ti perdi della memoria.
Io di solito elimino anche questi dall'avvio
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE

Dopo poi decidi tu se toglierli.

Lionsquid
07-12-2005, 12.43.16
opps... scusa ma essendo al lavoro non mi riesce di essere con continuità "attaccato" al forum...

si le voci in arancione sono "inutili", non malware.. crazy.cat ha aggiunto anche lo scanner online della bitdefender (non malware ma "inutili") ed una serie di programmi i quali NON sono NECESSARI sempre attivi, meglio risparmiare risorse impedendone l'avvio automatico (anche se alcuni di questi come il quicktime si rimette in automatico alla prima esecuzione)

pikagi
07-12-2005, 20.03.56
ringrazio molto per le risposta ma il problema è che... non riesco ad eliminare le voci services.exe che si riformano subito dopo il fix di hjack sia in modalita' provvisoria che in modalità normale.
Magari posso provare ad andare in nella cartella c/windows e cancellare services ma mi da accesso negato ...
Che posso fare ?
Ciao e grazie a tutti

Lionsquid
07-12-2005, 23.20.45
la rimozione è da fare in mod. provvisoria e non in modalità normale

è probabile che ci sia qualche altro processo nascosto che ripristina il tutto...

eventualemnte ti consiglio di usare un cd di avvio tipo bartpe o il cd di windows xp per arrivare a rimuovere manualmente il file services.exe

oppure... usi scangui e il sdat della mcafee ( http://www.wintricks.com/faq/sicurezza_web3.html )per fare una scansione "seria" in modalità provvisoria.. sono certo che verrà debellato ... se non sei ancora riuscito a rimediare è certamente un'errore nella procedura.. quel tipo di trojan non sono così irresistibili

qui trovi una guida > http://www.wintricks.com/faq/sicurezza_web.html (anche se non è specifica per XP, però valgono i criteri di approccio)

l'equivalente cd per i sistemi NTFS è il BartPE, il buon Neddi ne ha preparato uno speciale per WT ;), presumo sarà pubblicato a breve.

pikagi
08-12-2005, 06.42.42
allora la situazione ora è questa.... sono riuscito ad eliminare questa stringa di hjiack
O4 - HKLM\..\Run: [SERVICES.EXE] C:\WINDOWS\SERVICES.EXE
ed ha questo punto la macchina pare vada bene, l'avvio è veloce, non ci sono più le intromissioni di skymaters.biz, ho cancellato anche le stringhe consigliate da crazy cat ed è notevolmente veloce in fase di avvio... l'unico particolare e che in avvio si avvia una schermata grigia di xp che mi segnala l'assenza di services.exe. A questo punto visto che il pc mi sembra vada bene posso farne a meno? O come posso ripristinarlo ? Grazie di tutti..
La rimozioni delle righe services... ini le ho fatte anche in modalità provvisoria ma si riformano subito dopo averle cancellate.

Lionsquid
08-12-2005, 08.27.42
la schermata grigia (message box?) immagino si riferisca alla chiamata di avvio dell'eseguibile infetto inserita nel system.ini

la puoi rimuovere manualmente oppure sempre con hijackthis

il services.exe corretto è posto in system32, non in windows, e NON devi ripristinare nulla poichè il vero services.exe si avvia sicuramente (controlla con task manager o con hijackthis se esiste questo processo attivo "C:\WINDOWS\system32\services.exe")

vale come consiglio generale per gli eventuali futuri problemi, è preferibile usare un programma per terminare i processi maligni ben più potente del task manager come ad esempoi il procexp oppure autoruns, entrambi citati nell'articoletto che ti ho linkato prima (e segnalati in news gli step di aggiornamento).

le rimozioni vanno sempre fatte da mod. provvisoria oppure con l'avvio di un'ambiente di tipo "live" (es: bartpe, winpe, etc.) oppure dal cd di xp

ciao ;)

pikagi
08-12-2005, 13.57.21
grazie di tutto ma credo il pc sia ora da formattare.... infatti dopo un blocco ho dovuto riavvare il pc... che ora non va avanti dalla schermata iniziale di xp ( quella col logo) a sto punto mi indichi una via per formattare tutto ? Ovviamente ho installato xp professional. Ciao e grazie

Lionsquid
08-12-2005, 22.59.37
io tenterei il recupero riavviando in mod. provvisoria ed effettuando le pulizie de caso.. c'è da vedere quel blocco da cosa è stato provocato...

ma se non hai dati a rischio e vuoi tagliare la testa al toro

la cosa + semplice è avviare col cd, rifare una nuova installa zione rimuovendo la partizione attulmente occupata da xp per poi ricrearla e installarvi in nuovo XP