Qualcuno conosce queste voci?

[Arthur85]

Ciao a tutti; ho fatto un controllo periodico con HijackThis e ho trovato con mia sorpresa (in quanto pensavo di non aver fatto nulla di pericoloso) delle voci "minacciose" (secondo me e anche secondo il sito che analizza il log)...che ne dite di queste voci? La cosa veramente interessante è che ieri sera l'avevo fixate...ma oggi sono tornate...consigli?

O17 - HKLM\System\CCS\Services\Tcpip\..\{483E5B6D-FDE2-44E1-AF65-DC2AB1F27ECA}: NameServer = 69.50.168.180,85.255.112.26

O17 - HKLM\System\CCS\Services\Tcpip\..\{7F8FCF82-34DE-4C7A-A7B4-9513A8A736AF}: NameServer = 69.50.168.180,85.255.112.26

O17 - HKLM\System\CS1\Services\Tcpip\..\{483E5B6D-FDE2-44E1-AF65-DC2AB1F27ECA}: NameServer = 69.50.168.180,85.255.112.26

O17 - HKLM\System\CS2\Services\Tcpip\..\{483E5B6D-FDE2-44E1-AF65-DC2AB1F27ECA}: NameServer = 69.50.168.180,85.255.112.26


Date poi un'occhiata anche a questa due voci...queste ieri non erano presenti e io nono ho installato nulla di nuovo...

O4 - HKLM\..\Run: [NAVNet] "C:\ms32.exe" /m

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

Ciao
Ciao

[crazy.cat]

Quota:

Originariamente inviato da Arthur85
O4 - HKLM\..\Run: [NAVNet] "C:\ms32.exe" /m
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

Eliminale tutte e due e fatti un controllo online per virus.
Sono usate tutte e due da parecchi virus.

Sul sito Merijn.org dicono questo:
What to do:If the domain is not from your ISP or company network, have HijackThis fix it. The same goes for the 'SearchList' entries.
For the 'NameServer' (DNS servers) entries, Google for the IP or IPs and it will be easy to see if they are good or bad.

Hai fastweb, o un indirizzo Ip fisso?
Perchè vedo che è sempre uguale.

[joey]

guarda...non si trovano informazioni dettagliate sulle voci che hai segnalto...ma ho l'impressione che i due *.exe che hai segnalato e gli ip segnalati, siasno collegati....io ci starei attento...prova a mandare qua tutto il log di hijack...

[Arthur85]

Ho allegato il log...spero che possiate aiutarmi...i oho tiscali adsl flat a 6 mb con ip dinamico e non uso router...

Vi ringrazio in anticipo del vostro aiuto


Ciao
Ciao

[Arthur85]

inoltre la cosa strana è che io le prime 4 voci segnalate le avevevo già cancellate e oggi sono tornate insieme agli ai due .exe

Ciao
Ciao

[joey]

Quota:

noltre la cosa strana è che io le prime 4 voci segnalate le avevevo già cancellate e oggi sono tornate insieme agli ai due .exe

perchè non abbiamo eliminato la sorgente del problema...cioè il processo o l'eseguibile, o meglio il bastardo che genera i *.exe. mi sa che tu quegli exe li puoi eliminare anche un miliardo di volte, ma la sorgente di tutto te li ricrea...io ho avuto un problema credo simile...

[joey]

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

questo mi sa che è un trojan...ma prima di fixarlo senti l'opinione di crazy.cat

[crazy.cat]

Scaricati questi due in una cartella, estrai il contenuto del zip e poi lanci il sysclean.com
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
http://www.trendmicro.com/ftp/produc...ern/lpt831.zip

Fai la scansione dalla modalità provvisoria e vedi cosa elimina.

Gli exe indicati sono quasi sicuramente due virus, il primo potrebbe essere un dialer, è strana quell'opzione /m

[joey]

Quota:

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\System32\hgqhp.exe

questo mi sa che è un trojan...ma prima di fixarlo senti l'opinione di crazy.cat

...quanto sono furbo...

[joey]

...e quelle connessione segnalate da hijack cosa sono? cioè da dove vengono e come si eliminano?

[crazy.cat]

Sono gli indirizzi del tuo provider che prendi quando sei in rete, se rifai la scansione off-line spariscono.
Io mi preoccuperei di più dei due exe che si rigenerano.

[joey]

sì...comunque non sono miei, sono di Arthur85...secondo te dove si è intanato il programmino che rigenera i due *.exe?

[crazy.cat]

Quota:

Originariamente inviato da joey
secondo te dove si è intanato il programmino che rigenera i due *.exe?

Ovunque.
Una bella scansione a tutto il disco fisso e salta fuori.

[Arthur85]

ho fatto come detto e almeno per ora sembra che si siano tolti...ho fatto anche un controllo on line con Panda e sono giunto ad una conclusione: Norton fa schifo!!!! Lo uso da molti anni e pensavo fosse uno dei miglio...mi sbagliato...cavolo, Panda ha trovato delle cose che Norton non mi hai visto


Speriamo sia la volta buona

Vi ringrazio tutti

Ciao
Ciao

[kirk]

Il file hgqhp.exe sembra essere proprio un trojan guarda che si dice
QUI