Aiuto Hijack

[GSF]

Logfile of HijackThis v1.99.1

Scan saved at 10.42.36, on 04/04/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\cisvc.exe

C:\Programmi\Norton AntiVirus\navapsvc.exe

C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe

C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\cidaemon.exe

C:\Programmi\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Programmi\Internet Explorer\iexplore.exe

C:\PROGRAMMI\INTERNET EXPLORER\IEXPLORE.EXE

C:\Programmi\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.virgilio.it/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - Global Startup: LG SyncManager.lnk = ?

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0892CF9C-C20E-49DD-8851-2AEC1C85C856}: NameServer = 155.99.125.2,151.99.125.3

O17 - HKLM\System\CS1\Services\Tcpip\..\{0892CF9C-C20E-49DD-8851-2AEC1C85C856}: NameServer = 155.99.125.2,151.99.125.3

O20 - Winlogon Notify: MSSYCLM - C:\WINDOWS\system32\ltj0271mg.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe

COME PROCEDERE PER ELIMINARE QUESTE FINESTRE CHE SI APRONO CONTINUAMENTE.

GRAZIE

[Kuma]

Ciao e ben arrivato su Wininizio

Mentre ti analizzo il log, collegati a VIRUS TOTAL (link nella mia firma) e fai analizzare il seguente file: ltj0271mg.dll (posta qui il responso) dovrebbe essere in C:\Windows\System32

[GSF]

File size can't be more than 10 Megabytes.

You can't try compressing it.

Thanks you. << Go back

[Kuma]

Ok trovato da solo

Scarica questo TOOL

avvialo e fallo scansionare... al termine ripostami un log di Hijack aggiornato

[Kuma]

Adesso devo andare a cena.... al massimo ci sentiamo tra un po'

[GSF]

Arrivato al 100% della scansione si blocca, l'applicazione non risponde...

cosa faccio?

[Kuma]

prova a farla in modalità provvisoria....

Al termine, fai una scansione Online su usando Internet Explorer... finita la scansione, salva la pagina del rapporto ed allegala qui

[GSF]

IN MODALITà PROVVISORIA NON PARTE PROPRIO IL PROGRAMMA...

SCUSA IL RITARDO.

[Kuma]

Allora non abbiamo la conferma completa che il file sia maligno (anche se io penso che lo sia)

Fai in questo modo:

1. Assicurati che l'opzione "Visualizza cartelle e file nascosti" sia attivata.

(Pannello di controllo > Opzioni Cartella > Visualizzazione)

2. portati in C:\Windows\System32 e comprimi il file ltj0271mg.dll

(lo teniamo come copia di backup,in caso di problemi)

3. metti Hijack in una cartella a lui dedicata (in Programmi o Documenti), l'importante è che non si trovi sul desktop o in cartelle temporanee...

4. Avvia in modalità provvisoria , Avvia Hijack e fissa questa voce:

O20 - Winlogon Notify: MSSYCLM - C:\WINDOWS\system32\ltj0271mg.dll

5.portati in C:\Windows\System32 e elimina il file ltj0271mg.dll

6. svuota anche il cestino

Al termine fammi la scansione su Kaspersky, salva la pagina del rapporto ed allegamela qui insieme ad un nuovo log di Hijack