Trojan _p9hEPQkbj.exe

di **-Van-** » 07/01/06 16:02

cmq...il trojan non sono riuscito a levarlo....nemmeno dalla modalità provvisoria...avete altri consigli???
in oltre mi potete consigliareun buon antivirus???

di **Luke57** » 07/01/06 19:38

Ciao, prova a scaricare questo da usare in modalità provvisoria
http://www.simplytech.it/ETRemover/ETRemover_v212.zip , posta poi nuovo log di hijackthis.

di **-Van-** » 08/01/06 13:10

allora attraverso un software scaricato da un sito di antivirus sono riuscito a levare il famoso trojan.
questo cmq è il LOG ce per caso qualcosa che posso levare di superfluo per fare andare il pc piu spedito?
Logfile of HijackThis v1.99.1
Scan saved at 13.09.05, on 08/01/2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mssearchnet.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programmi\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SetFirst] omcamuns setfirst
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Autolaunch] omcamlch
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2E6BCE0-632F-48F6-8E0C-4979868734D6}: NameServer = 193.70.152.15 193.70.152.25
O23 - Service: Adobe LM Service - Unknown owner - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

di **Luke57** » 08/01/06 15:46

Ciao, hai utilizzato Virit per togliere il trojan? Adesso, però, c'è questa voce che non va:
C:\WINDOWS\System32\mssearchnet.exe.
A browser chiuso e disconnesso da internet, fai girare hijackthis, premi "open the misc tools section", poi "open process manager", individui il processo
C:\WINDOWS\System32\mssearchnet.exe
clicchi "kill process". Poi "back", scan", nelle voci che ti appaiono metti il segno di spunta a
C:\WINDOWS\System32\mssearchnet.exe
premi "fix checked".
Riavvii in modalità provvisoria, rendi visibili file e cartelle nascosti (vai in start>impostazioni>pannello di controllo>opzioni cartella, e clicca su "visualizzazione". Seleziona "visualizza file e cartelle nascosti", "visualizza il contenuto delle cartelle di sistema" e deseleziona "nascondi file protetti e di sistema". Clicca su OK.)
cerchi ed elimini il file:
C:\WINDOWS\System32\mssearchnet.exe
Cancella poi tutti I file temporanei di windows (temp e tmp), quelli di IE, cookies, svuota il cestino. Vai in pannello di controllo, installazioni|applicazioni, togli tutto quello che non hai installato tu. Fai una scansione con antivirus aggiornato. Verifica con un nuovo log se la mssearchnet è scomparso.

di **Merys** » 09/01/06 20:23

ciao a tutti
come tutti anch'io ho problemi con questo _p9hEPQkbj.exe ed exsporer :evil:

questi file li ho prima cancellati manualmente ma quando mi collego a internet mi ricompaiono (oggi stranamente no!)
ho scaricato HijackThis, tutto bene, ho fatto la scansione con questo risultato:

Logfile of HijackThis v1.99.1
Scan saved at 20.02.11, on 09/01/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMMI\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP PRECISIONSCAN\PRECISIONSCAN\HPPPTA.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
D:\PROGRAMMI\WINAMP\WINAMP5\WINAMPA.EXE
D:\PROGRAMMI\ULEAD SYSTEMS\ULEAD PHOTO EXPLORER 8.0 SE BASIC\MONITOR.EXE
C:\WINDOWS\SLA.EXE
D:\PROGRAMMI\COMPUTER IDEA\SPAM\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\NOTEPAD.EXE
D:\PROGRAMMI\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscalinet.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscalinet.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMMI\ACROBAT\ACROBAT 5.0.5\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LaunchAttuneSetup] C:\WINDOWS\SYSTEM\msiexec.exe /i "D:\COREL 10\Corel\Graphics10\Aveo\09\01\attune.msi" /q
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [hpppta] C:\Programmi\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EM_EXEC] c:\logitech\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [WinampAgent] D:\programmi\winamp\winamp5\winampa.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] D:\Programmi\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [sla] C:\WINDOWS\sla.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Spamihilator] "D:\programmi\computer idea\spam\Spamihilator\spamihilator.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: PhoenixNet - {f2fd56e0-3dd0-11d7-84bc-c6069ff58346} - http://www.seqdl.com/servlets/Redir?BID=65457&CID=9875 (file missing)
O12 - Plugin for .EXE: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscalinet.it
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/italy/start
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O15 - Trusted Zone: http://www.archiviosex.net
O16 - DPF: {48C20DEE-B00A-11D4-9B2F-0060975D990E} (Hi2Lobby Class) - http://62.27.8.33/lobby/atlclient.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/mar/x/igmp1f.exe

il problema è che quando cerco di fixare le voci O15 mi si blocca il programma e quindi non risolvo niente!!!

io non ci capisco tantissimo di queste voci, ma se vedete qualcosa che non va dite pure.
non so quindi come eliminare il blocco di HijackThis per poter eliminare quindi i file "sospetti"

in alternativa: esiste un modo non troppo complicato per eliminare _p9hEPQkbj.exe?
male che vada mi toccherà portare il computer dal tecnico!!! ^_^

p.s. quando mi collego a internet mi chiede 2 volte "Verifying user name and password..." cosa che prima dell'"infezione" non succedeva e inoltre ci mette molto di più a connettersi, e inoltre crea una nuova connessione chiamata "connessione predefinita", qualcun altro ha lo stesso problema?

Grazie a chi mi risponderà!!!

di **Dylan666** » 10/01/06 07:50

Aggiornare il tuo Internet Explorer alla versione 6 probabilmente aiuterebbe.

Incolla il log e leva tutte le voci rosse più le gialle che non conosci:

http://www.hijackthis.de/it

di **Luke57** » 10/01/06 13:51

Ciao, Marys, ho controllato anch’io il tuo log e, secondo me, oltre ai consigli di Dylan, le operazioni da fare sono:
Scarica DelDomains (hai segnalato difficoltà nel fissare le voci 015) che ti rimetterà a posto la "Trusted Zone" http://digilander.libero.it/mim/DelDomains.zip
Avvia hijackthis a browser chiuso e disconnesso da internet, premi “do a system scan only”, cerchi e spunti le seguenti voci:
C:\WINDOWS\SLA.EXE
O4 - HKLM\..\Run: [sla] C:\WINDOWS\sla.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: PhoenixNet - {f2fd56e0-3dd0-11d7-84bc-c6069ff58346} - http://www.seqdl.com/servlets/Redir?BID=65457&CID=9875 (file missing)
O15 - Trusted Zone: http://www.redfunny.com
O15 - Trusted Zone: http://www.skymasters.biz
O15 - Trusted Zone: http://www.archiviosex.net
premi “fix checked”.
Riavvia in modalità provvisoria (tasto F8 dopo l'avvio del Bios, prima che parta Windows e poi scegli Modalità Provvisoria spostandoti con le freccette) , lanci Delsdomains.inf scompatti il file e seleziona il file con estensione .inf, tasto destro del mouse su di esso e selezioni l'opzione "installa"
Avvia gestione risorse e imposta la visualizzazione completa dei files e cartelle in questo modo:
Seleziona strumenti>Opzioni Cartella
Seleziona Visualizza
Spunta "mostra file e cartelle nascoste"
Togli la spunta da "nascondi file di sistema protetti" . Click Ok
Cerchi ed elimini, se c’è, il file
C:\WINDOWS\sla.exe
vai su "installazione applicazioni" e rimuovi tutte le applicazioni che non conosci e che non hai installato,
cancella i file temporanei di windows (temp e tmp)
sulle opzioni Internet cancella la cache di IE, i cookies ,svuota il cestino ( allo scopo scarica CrapCleaner, trovi il download con google).

di **Merys** » 11/01/06 17:26

Ciao!
Ho fatto tutto quello che mi hai detto ma il problema è che NON mi funziona HijackThis perchè mi si blocca il programma quando fixo una voce qualsiasi, non necessariamente O15. C'è eventualmente un programma alternativo?

Purtroppo ho anche un antivirus non aggiornato, ma volevo chiedere se con un buon antivirus riuscire a eliminare il problema.

Cmq grazie 1000 x l'aiuto che mi state dando!!!

di **Dylan666** » 11/01/06 17:39

prova a usare hijackthis da modalità provvisoria, o se riesci almeno a creare il log e fartelo analizzare sul sito a levare a mano le voci malevoli

di **Merys** » 11/01/06 17:59

sì, ho provato anche da modalità provvisoria ma mi si blocca lo stesso, magari proverò a reinstallarlo.

cmq bene o male ho individuato nel log le voci dannose, si possono eventualmente eliminare in modo manuale? in questo modo si risolverebbe il problema?

grazie 1000, soprattutto x l'efficienza e la rapidità della risposta!!!

di **Dylan666** » 11/01/06 18:03

Merys ha scritto:cmq bene o male ho individuato nel log le voci dannose, si possono eventualmente eliminare in modo manuale? in questo modo si risolverebbe il problema?

Sì che puoi te l'ho appena scritto.
Devi levare chiavi e file relativi, tenendo una copia di sicurezza di entrambi

di **Merys** » 11/01/06 18:06

purtroppo non sono molto pratica di queste cose!

cosa sono queste chiavi, in cosa consistono?
ho paura di combinare un macello!!!

di **Merys** » 11/01/06 18:09

riecco il mio log:Logfile of HijackThis v1.99.1
Scan saved at 18.08.54, on 11/01/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMMI\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP PRECISIONSCAN\PRECISIONSCAN\HPPPTA.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
D:\PROGRAMMI\WINAMP\WINAMP5\WINAMPA.EXE
D:\PROGRAMMI\ULEAD SYSTEMS\ULEAD PHOTO EXPLORER 8.0 SE BASIC\MONITOR.EXE
D:\PROGRAMMI\COMPUTER IDEA\SPAM\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\OUTLOOK EXPRESS\MSIMN.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
D:\PROGRAMMI\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscalinet.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscalinet.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMMI\ACROBAT\ACROBAT 5.0.5\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LaunchAttuneSetup] C:\WINDOWS\SYSTEM\msiexec.exe /i "D:\COREL 10\Corel\Graphics10\Aveo\09\01\attune.msi" /q
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [hpppta] C:\Programmi\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EM_EXEC] c:\logitech\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [WinampAgent] D:\programmi\winamp\winamp5\winampa.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] D:\Programmi\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [sla] C:\WINDOWS\sla.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Spamihilator] "D:\programmi\computer idea\spam\Spamihilator\spamihilator.exe"
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: PhoenixNet - {f2fd56e0-3dd0-11d7-84bc-c6069ff58346} - http://www.seqdl.com/servlets/Redir?BID=65457&CID=9875 (file missing)
O12 - Plugin for .EXE: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscalinet.it
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/italy/start
O16 - DPF: {48C20DEE-B00A-11D4-9B2F-0060975D990E} (Hi2Lobby Class) - http://62.27.8.33/lobby/atlclient.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/mar/x/igmp1f.exe

di **Dylan666** » 11/01/06 18:09

beh sì, se non ti intendi di chiavi sarebbe meglio usare HijackThis.
Guarda un po se ti si chiude per uno di questi motivi:
http://www.spywareinfo.com/~merijn/faq.html#hijackthis1

di **Merys** » 11/01/06 18:16

ho provato a fare una cosa: dato che hijackthis mi si bloccava perchè faceva il backup, sono andata in configurazioni e ho tolto la spunta alla voce "salva backup..", ho fixato le seguenti voci e non mi si è bloccato e quindi le ho tolte:

O4 - HKLM\..\Run: [sla] C:\WINDOWS\sla.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: PhoenixNet - {f2fd56e0-3dd0-11d7-84bc-c6069ff58346} - http://www.seqdl.com/servlets/Redir?BID=65457&CID=9875 (file missing)

adesso cosa devo fare?

di **Dylan666** » 11/01/06 18:23

postare un nuovo log per vedere se è rimasto o si è ricreato qualcosa

di **Merys** » 11/01/06 18:24

Dylan666 ha scritto:Aggiornare il tuo Internet Explorer alla versione 6 probabilmente aiuterebbe.

Incolla il log e leva tutte le voci rosse più le gialle che non conosci:

http://www.hijackthis.de/it

ho rifatto la scansione e mi sono cmq rimaste meno voci sospette, che cmq toglierò in un secondo momento:

Sospetto
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/mar/x/igmp1f.exe

Abbastanza sospetto
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscalinet.it
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/italy/start
O16 - DPF: {48C20DEE-B00A-11D4-9B2F-0060975D990E} (Hi2Lobby Class) - http://62.27.8.33/lobby/atlclient.cab

p.s. scusa se ti sto intasando di messaggi!!!

di **Merys** » 11/01/06 18:25

Ecco il nuovo log:

Logfile of HijackThis v1.99.1
Scan saved at 18.25.16, on 11/01/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMMI\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP PRECISIONSCAN\PRECISIONSCAN\HPPPTA.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
D:\PROGRAMMI\WINAMP\WINAMP5\WINAMPA.EXE
D:\PROGRAMMI\ULEAD SYSTEMS\ULEAD PHOTO EXPLORER 8.0 SE BASIC\MONITOR.EXE
D:\PROGRAMMI\COMPUTER IDEA\SPAM\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\OUTLOOK EXPRESS\MSIMN.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
D:\PROGRAMMI\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscalinet.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscalinet.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMMI\ACROBAT\ACROBAT 5.0.5\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LaunchAttuneSetup] C:\WINDOWS\SYSTEM\msiexec.exe /i "D:\COREL 10\Corel\Graphics10\Aveo\09\01\attune.msi" /q
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [hpppta] C:\Programmi\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EM_EXEC] c:\logitech\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [WinampAgent] D:\programmi\winamp\winamp5\winampa.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] D:\Programmi\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Spamihilator] "D:\programmi\computer idea\spam\Spamihilator\spamihilator.exe"
O12 - Plugin for .EXE: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscalinet.it
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/italy/start
O16 - DPF: {48C20DEE-B00A-11D4-9B2F-0060975D990E} (Hi2Lobby Class) - http://62.27.8.33/lobby/atlclient.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/mar/x/igmp1f.exe

di **Dylan666** » 11/01/06 18:36

Sicuri che è roba del Norton? Vedine le proprietà:
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe

Se non li conosci levali
O16 - DPF: {48C20DEE-B00A-11D4-9B2F-0060975D990E} (Hi2Lobby Class) - http://62.27.8.33/lobby/atlclient.cab

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.accessoveloce.com/mar/x/igmp1f.exe

PS: se aggiornassi Explorer sarebbe sempre un bene

di **Merys** » 11/01/06 18:43

ho eliminato le voci O16 da te consigliate

ecco il log:

Logfile of HijackThis v1.99.1
Scan saved at 18.39.50, on 11/01/06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMMI\FILE COMUNI\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMMI\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\PROGRAMMI\HEWLETT-PACKARD\HP PRECISIONSCAN\PRECISIONSCAN\HPPPTA.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\LOGITECH\MOUSE\SYSTEM\EM_EXEC.EXE
D:\PROGRAMMI\WINAMP\WINAMP5\WINAMPA.EXE
D:\PROGRAMMI\ULEAD SYSTEMS\ULEAD PHOTO EXPLORER 8.0 SE BASIC\MONITOR.EXE
D:\PROGRAMMI\COMPUTER IDEA\SPAM\SPAMIHILATOR\SPAMIHILATOR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMMI\OUTLOOK EXPRESS\MSIMN.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE
D:\PROGRAMMI\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.it/0SEITIT/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscalinet.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscalinet.it
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMMI\ACROBAT\ACROBAT 5.0.5\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LaunchAttuneSetup] C:\WINDOWS\SYSTEM\msiexec.exe /i "D:\COREL 10\Corel\Graphics10\Aveo\09\01\attune.msi" /q
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AudioHQ] C:\Programmi\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [hpppta] C:\Programmi\Hewlett-Packard\HP PrecisionScan\PrecisionScan\hpppta.exe /ICON
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EM_EXEC] c:\logitech\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Norton Antivirus AV] C:\WINDOWS\FVProtect.exe
O4 - HKLM\..\Run: [WinampAgent] D:\programmi\winamp\winamp5\winampa.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] D:\Programmi\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programmi\File comuni\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [Spamihilator] "D:\programmi\computer idea\spam\Spamihilator\spamihilator.exe"
O12 - Plugin for .EXE: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscalinet.it
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.microsoft.com/italy/start
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

per la voce Norton non saprei, se non mi da problemi la lascio
per internet explorer ieri ho provato ad aggiornarlo su windows update ma dato che il file era troppo grande ho lasciato momentaneamente perdere, ma prima o poi lo aggiornerò per forza!

ma il computer adesso è andato a posto o potrebbe ancora ritornare _p9b... ??

Trojan _p9hEPQkbj.exe

ancora _p9hepqkbj!!! HELP!!!

Topic correlati a "Trojan _p9hEPQkbj.exe":

Chi c’è in linea