Log di Hijackthis..aiuto!

[Jule]

Come molti altri utenti mi trovo di fronte a un problema di comparsa di pop up e homepage non regolari. Ho fatto la scansione con Hijackthis in modalità provvisoria e questo è il risultato, mi dite che file eliminare?
Grazie mille.

Logfile of HijackThis v1.99.1
Scan saved at 15.26.38, on 19/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\Simon\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Outpost Firewall] C:\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [avast!] C:\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [pahzsb] c:\windows\system32\pahzsb.exe pahzsb
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup
O4 - Global Startup: Controllo del Calendario di Ulead Photo Express.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: &Google Search - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://C:\Programmi\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Agnitum\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O12 - Plugin for .UVR: C:\Programmi\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.it/
O16 - DPF: {01BE5BD7-B2DD-48B3-A759-59265A91E787} - http://akamai.downloadv3.com/binaries/E ... 064_XP.cab
O16 - DPF: {04CCFF26-7D52-4E42-BF6A-F8ECE0896EB7} - http://scripts.downloadv3.com/binaries/ ... 071_XP.cab
O16 - DPF: {07C9CFC7-DE33-4A0C-9FFB-CDFBA843B157} - http://akamai.downloadv3.com/binaries/E ... 063_XP.cab
O16 - DPF: {0D1011B3-89C8-4F8E-8693-BB970E2E81E0} - http://scripts.downloadv3.com/binaries/ ... IV4_XP.cab
O16 - DPF: {0DA910BC-6919-489E-B584-D9A4AAC7B8DE} - http://scripts.downloadv3.com/binaries/ ... IV4_XP.cab
O16 - DPF: {1604DF98-D1A5-44FE-844A-98D6FD0518D0} - http://akamai.downloadv3.com/binaries/E ... 060_XP.cab
O16 - DPF: {3616F4B5-F6AD-4E67-966A-C218673648A0} - http://scripts.downloadv3.com/binaries/ ... IV4_XP.cab
O16 - DPF: {54579C3D-A58D-4623-B5B5-465552BDA45B} - http://scripts.downloadv3.com/binaries/ ... IV4_XP.cab
O16 - DPF: {624321F1-0581-49D8-99BD-2E952C2DF31B} - http://akamai.downloadv3.com/binaries/E ... IV4_XP.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6534649734
O16 - DPF: {78F584DF-BBF5-4296-839C-31DE60914DBC} - http://scripts.downloadv3.com/binaries/ ... IV4_XP.cab
O16 - DPF: {95460ABD-946A-46FF-9F56-268718323EEE} - http://scripts.downloadv3.com/binaries/ ... 068_XP.cab
O16 - DPF: {A1C392A2-B274-46DB-89BE-1FBD476B9C93} - http://scripts.downloadv3.com/binaries/ ... 065_XP.cab
O16 - DPF: {B2B0AEDF-7CDF-4792-BB67-7654AD1E1B13} - http://scripts.downloadv3.com/binaries/ ... _EN_XP.cab
O16 - DPF: {C6760A07-A574-4705-B113-7856315922C3} - http://akamai.downloadv3.com/binaries/I ... _EN_XP.cab
O16 - DPF: {E24E8472-89B7-479F-8AD8-BBD7206A6A02} - http://scripts.downloadv3.com/binaries/ ... 067_XP.cab
O16 - DPF: {E7AE1661-EBEB-492B-AE0D-860DF24174C6} - http://akamai.downloadv3.com/binaries/E ... IV4_XP.cab
O16 - DPF: {EFB23983-5803-4914-ADA3-C0EA2CFBDC37} - http://scripts.downloadv3.com/binaries/ ... 072_XP.cab
O16 - DPF: {FA83E942-B796-46DE-9155-1632ECC5473B} - http://akamai.downloadv3.com/binaries/E ... 061_XP.cab
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programmi\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O20 - AppInit_DLLs: C:\Agnitum\OUTPOS~1.0\wl_hook.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

[Luke57]

Ciao, scarica intanto CCleaner ultima versione da qui http://news.swzone.it/swznews-16590.php, è ottimo per la cancellazione di file temporanei di windows e IE.
In modalità normale, apri hijackthis, clicca su "do a system scan only", Metti la spunta a queste voci e clicca su "fix checked"

O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\Simon\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [pahzsb] c:\windows\system32\pahzsb.exe pahzsb ( questo non so cosa sia, se lo sai lascialo stare)

O14 - IERESET.INF: START_PAGE_URL=http://www.msn.it/
Tutte le voci 016 meno questo:
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... b_site.cab?
Questi sono due riferimenti inutili:
O23 - Service: avast! Antivirus - Unknown owner - C:\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
Riavvii il sistema in modalità provvisoria:
riavvia il pc, dopo la schermata della RAM premi ripetutamente il tasto F8, attendi qualche secondo e ti uscirà una schermata con delle opzioni, tu dovrai scegliere: "MODALITA' PROVVISORIA"spostandoti con le freccette. poi rendi visibile da esplora risorse i file e le cartelle nascoste (strumenti> Opzioni Cartella > Visualizzazione, metti la spunta a “Visualizza file e cartelle nascoste”togli la spunta a nascondi file di sistema (consigliato).
Cerchi ed elimini, se c’è, il file:
C:\Documents and Settings\Simon\Dati applicazioni\sgrunt\IE4321.exe
Poi usi CCleaner e cancelli file temporanei di windows, cookies, cache di IE , cestino( in pratica clicchi sul programma, si apre sulla voce windows e spunti tutte le caselline sotto la voce Internet Explorer e sotto Sistema, poi cloicchi analizza e avvia Cleaner che ti cancella la roba indicata nelle caselline). Fai una scansione con l’antivirus aggiornato.Posta poi un nuovo log di hijackthis.

[Jule]

Ciao, ho fatto tutto quello che mi hai detto però sia i pop up che i collegamenti ai dialer compaio comunque.
Sono anche comparse delle voci nel log di Hijackthis come "archiviosex" o cose del genere, che io ho spuntato ed eliminato.

Il nuovo log di Hijackthis è questo, grazie mille per la disponbilità:

Logfile of HijackThis v1.99.1
Scan saved at 12.53.43, on 20/12/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\zHotkey.exe
C:\Programmi\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programmi\Real\RealPlayer\RealPlay.exe
C:\Programmi\QuickTime\qttask.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\programmi\mailskinner\mailskinner.exe
C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Hijackthis\HijackThis.exe
C:\Programmi\Internet Explorer\iexplore.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programmi\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RealTray] C:\Programmi\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\Simon\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Outpost Firewall] C:\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [avast!] C:\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_ASPIV4_1072.dll,InstantAccess
O4 - HKCU\..\Run: [MailSkinner] c:\programmi\mailskinner\mailskinner.exe
O4 - Startup: Registration-Studio 8.lnk = C:\Programmi\Pinnacle\Studio 8\Register\RegTool.exe
O4 - Global Startup: Controllo del Calendario di Ulead Photo Express.lnk = C:\Programmi\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Programmi\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Programmi\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O8 - Extra context menu item: &Google Search - res://c:\programmi\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programmi\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programmi\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programmi\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://c:\programmi\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programmi\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Agnitum\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O12 - Plugin for .UVR: C:\Programmi\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 6534649734
O17 - HKLM\System\CCS\Services\Tcpip\..\{47310268-DCFE-4647-BA18-19A62B4C08A1}: NameServer = 212.151.136.246 130.244.127.169
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programmi\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O20 - AppInit_DLLs: C:\Agnitum\OUTPOS~1.0\wl_hook.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Agnitum\OUTPOS~1.0\outpost.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

[Luke57]

Ciao, proviamo così :scarica KillSgrunt da qui http://www.francydelorenzi.it/Sicurezza ... illsgrunt/
E mettilo sul desktop.
Vai in modalità provvisoria, dopo aver disattivato il punto di ripristino così : http://service1.symantec.com/SUPPORT/IN ... 3151930924:
esegui Killsgrunt, Avvia Hijack e clicca su "do a system scan only"
Metti la spunta a queste voci e clicca su "fix checked"

O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\Simon\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGDACCESS_ASPIV4_1072.dll,InstantAccess
Apri il task manager e se trovi questo processo, selezionalo e clicca su "Termina processo":
IE4321.exe
trova ,dopo aver resi visibile file e cartelle nascosti con la procedura solita ((Pannello di controllo > Opzioni Cartella > Visualizzazione, metti la spunta a visualizza file e cartelle nascosti, la cartella
Sgrunt
Dai una pulita con CCleaner ai file temporanei di windows, IE, cookies, fai una scansone con antivirus aggiornato.
Riavvia il pc in modalità normale, ristabilisci il ripristino di configurazione, rifai il log con hijackthis.

[Jule]

Il secondo link non posta a nulla..o meglio: porta a una pagina di avviso della Symantec.
Intanto provo ad avviare KillSgrunt in modalità provvisoria e faccio una scansione con HIjack. (i collegamenti che avevo sul desktop sono scomparsi perchè sono riuscita a cancellare IE4321.exe, ma compaiono ancora i pop up)

Volevo chiedere una'altra cosa: è possibile che virus come questi danneggino l'esecuzione di altri programmi, per esempio un programma per elaborare dei filmati, WinMX o un gioco?
Appena posso posto il nuovo log.
Grazie ancora.

[Luke57]

Prova qui:
http://service1.symantec.com/SUPPORT/IN ... 3151930924

[Jule]

Perfetto. Ora procedo e poi posto i log!

'zie!

[Er-Gladiatore]

Prova a fare così:

Scaricati Ad-Aware da qui: http://www.pianetapc.it/downloads.php?id=15 (AntiSpy)

Scaricati SpyBot S&D da qui: http://www.pianetapc.it/downloads.php?id=17 (AntiSpy)

Scaricati RegSeeker da qui: http://www.pianetapc.it/downloads.php?id=96 (Non và installato)

Ora entra in modalità provissoria e scansiona con i primi 2 programmi da me citati.

Una volta fatto questo apri RegSeeker impostalo sulla lingua italiana e clicca sù "Pulisci Registro",ed elimina tutto quello che ti trova.

Riavvia il PC ed entra normalmente in Windows,apri Internet Explorer e scansiona con degli antivirus On-line.

Qui ne puoi trovare due (I più buoni):

Trend Micro http://it.trendmicro-europe.com/consume ... launch.php

Kaspersky lab http://www.kaspersky.com/scanforvirus

Vedi se ti si è risolto il problema,se i popup ti infastidiscono posta un nuovo log di hijackthis.

N.B
I programmi aggiornali prima di scansionare.

[ecasa]

Ciao, scarica intanto CCleaner ultima versione da qui http://news.swzone.it/swznews-16590.php, è ottimo per la cancellazione di file temporanei di windows e IE.

Scusate ma non riesco a scaricare CCleaner dal link la pagina ha problemi, c'è un'alternativa ? Grazie e ciao.

[Luke57]

Ciao, in effetrti il link non funziona, prova da qui:
http://www.majorgeeks.com/download4191.html