controllo log hijacktdis

[faffi]

ciao ragazzi ,
mi controllate il log che ho fatto ad una amica , lproblema riscontrato :
cambio pagina iniziale in about blank , e poi durante la connessione mi porta a siti porno , risultano winmovieplugin e internet exsplorer problema gia' affrontato da me ma vorrei un consiglio sul log. grazie


Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SERVICES.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\P2PNET~1\P2PNET~1.EXE
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\system32\shellext\SERVICES.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\DOCUME~1\prova\IMPOST~1\Temp\Rar$EX12.265\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Programmi\p2pnetworks\mpp2pl.exe" /H
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programmi\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [wingate] C:\WINDOWS\system32\shellext\SERVICES.EXE -a
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.c ... 040510.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 0904920849
O17 - HKLM\System\CCS\Services\Tcpip\..\{2BF9430C-EEA3-4BFF-8A4D-CDD042E94162}: NameServer = 85.37.17.39 85.38.28.71
O17 - HKLM\System\CS1\Services\Tcpip\..\{2BF9430C-EEA3-4BFF-8A4D-CDD042E94162}: NameServer = 85.37.17.39 85.38.28.71
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

[fenolo]

http://hijackthis.de/index.php?langselect=italian

[Luke57]

Ciao, scarica Cwshredder
http://www.trendmicro.com/ftp/products/ ... redder.exe
Poi KillBOX da qui
http://www.bleepingcomputer.com/files/s ... illBox.zip
- estrailo sul desktop e apri la cartella che lo contiene e quindi avvialo
- Seleziona l'opzione Delete on Reboot . Nello spazio scrivi il percorso del file da eliminare C:\WINDOWS\SERVICES.EXE e clicchi sulla crocetta rossa ( il computer si riavvierà)
Apri hijackthis, clicca su “open the misc tools section", “open process manager”, cerca ed evidenzia il processo:
C:\PROGRA~1\P2PNET~1\P2PNET~1.EXE
Clicca kill process.
Torna al menu principale, premi scan , cerca e spunta le voci seguenti:
O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Programmi\p2pnetworks\mpp2pl.exe" /H
O4 - HKCU\..\Run: [wingate] C:\WINDOWS\system32\shellext\SERVICES.EXE –a
Premi fix checked.
Avvia in modalità provvisoria ,chiudi tutti i programmi, compreso l’antivirus, ed esegui CWShredder.exe (scegli “Fix”, non “Scan”only).
Scegli Opzioni cartella dal menu Strumenti in Risorse del computer o Esplora risorse. Fai clic sulla scheda Visualizza, clic su “Visualizza cartelle e file nascosti”e deseleziona la casella di controllo “Nascondi i file protetti di sistema (consigliato)”.
Scegli Sì alla richiesta di conferma della modifica e quindi scegli Ok.
Cerca ed elimina:
C:\PROGRA~1\P2PNET~1\P2PNET~1.EXE---- > la cartella
C:\WINDOWS\system32\shellext\SERVICES.EXE –a
Elimina tutti i file e le cartelle contenuti nella cartella "Temp" di Windows e tutti i file con estensione .tmp e .temp presenti sul disco rigido (Usa il comando Cerca o Trova di Windows).
Svuota il Cestino.
Vai in Pannello di controllo -> Aggiungi o Rimuovi Programmi / Installazione applicazioni -> Rimuovi tutte le applicazioni che riconosci di non avere installato tu.
Eimina tutti i file temporanei Internet, scegli “Elimina tutto il contenuto anche non in linea”
Cancella Cronologia
Elimina i Cookies