file hijackthis.log

[ANDREA ALB]

Ciao a tutti,
mi chiamo Andrea e partecipo per la prima volta a questo forum. Vi chiedo per favore di aiutarmi: ho scaricato un programma a causa del quale ogni volta navigo in internete mi apre una finestra (webpopup) indesiderata che non se ne va più a meno che riavvi il computer.
Ho già provato a risolver il problema con AD-AWARE e con SPYBOT (inoltre ero già dotato di firewall e di norton antivirus aggiornato). Nulla da fare, quindi ho lanciato hijackthis che mi ha prodotto la lista che Vi riporto. Vi chiedo la cortesia di segnalarmi quali voci rimuovere (scusate se non sono stato preciso ma sono molto inesperto in tema di computer). Grazie.

Logfile of HijackThis v1.99.1
Scan saved at 9.24.44, on 06/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\NavNT\defwatch.exe
C:\Programmi\File comuni\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmi\NavNT\rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\NavNT\vptray.exe
C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\Programmi\WinZip\WZQKPICK.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\AndreaM\Impostazioni locali\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O4 - HKLM\..\Run: [vptray] C:\Programmi\NavNT\vptray.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programmi\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programmi\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programmi\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programmi\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\AndreaM\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [E-nrgyPlus] C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - Startup: Collegamento a logonas.lnk = C:\logonas.bat
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Cerca con Google - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Traduci parola in italiano - res://C:\Programmi\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Link a ritroso - res://C:\Programmi\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pagine simili - res://C:\Programmi\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Versione cache della pagina - res://C:\Programmi\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = studiograsso.local
O17 - HKLM\Software\..\Telephony: DomainName = studiograsso.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{DFBDE1D8-E0FA-4C79-87FA-8FE7BF7CDE6C}: NameServer = 10.0.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = studiograsso.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = studiograsso.local
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Comando remoto Client Access Express (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\Programmi\NavNT\defwatch.exe
O23 - Service: Norton AntiVirus Server - Symantec Corporation - C:\Programmi\NavNT\rtvscan.exe

[Luke57]

Ciao, intanto Scarica Killsgrunt da qui: http://www.francydelorenzi.it/Sicurezza ... illsgrunt/
ci sono anche le istruzioni d’uso ( è meglio utilizzarlo in modalità provvisoria)
Avvia in modalità "normale" , apri HJT e premi "config", "Misc tools" e "Open Process Manager"
cerca il processo:
C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
selezionalo/i e clic su "kill process"
torna al menù principale, premendo back” e premi scan
cerca nell'elenco le chiavi seguenti e spunta la casella a lato di ognuna
O4 - HKLM\..\Run: [Olympic] C:\Documents and Settings\AndreaM\Dati applicazioni\sgrunt\IE4321.exe
O4 - HKLM\..\Run: [E-nrgyPlus] C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe
O4 - Startup: Collegamento a logonas.lnk = C:\logonas.bat ( se sai cosa è, ignoralo)
premi fix checked
Riparti in modalità provvisoria, se non sai come fare:
( Avviare il computer.Subito dopo il calcolo della RAM e prima che inizi a caricarsi Windows, iniziare a premere ripetutamente il tasto F8 sulla tastiera. Continuare a farlo fino a visualizzare il menu Opzioni avanzate di Windows. Usando i tasti freccia sulla tastiera, scorrere le opzioni e selezionare il menu Modalità Provvisoria, quindi premere Invio)
Avvia Gestione risorse e rendi visibili fle e cartelle nascosti:
Seleziona strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti"
Click Ok
cerca e cancella i seguenti file:
C:\Programmi\E-nrgyPlus\E-nrgyPlus.exe----> tutta la cartella
C:\Documents and Settings\AndreaM\Dati applicazioni\sgrunt\IE4321.exe----> tutta la cartella
vai su "installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato tu
Elimina tutti i file e le cartelle contenuti nella cartella "Temp" di Windows e tutti i file con estensione .tmp e .temp presenti sul disco rigido (Usa il comando Cerca o Trova di Windows>tutti i file e cartelle>*.temp:*.tmp (copi e incolli)
svuota il cestino
Elimina tutti i file temporanei Internet, (da pannello di controllo>opzioni intenet) scegli “Elimina tutto il contenuto anche non in linea”
Cancella Cronologia
Elimina i Cookies

[ANDREA ALB]

Grazie molte, provo e ti faccio sapere.

ciao

[ANDREA ALB]

Grazie infinite, il tuo aiuto è stato prezioso, preciso, semplice da seguire e mi ha permesso di rimuovere il problema.

Andrea