Accedi per seguire   
Seguaci 0
MaxM

Hijackthis Parte E Si Chiude Subito

Iniziato da MaxM,

6 messaggi in questa discussione

Inviato

Sto vedendo un computer con questo problema:

quando vado in internet dopo un po di tempo mi si scollega e si collega a un numero a pagamento. Nod32 e Spybot non rilevano niente, ho provato a vedere di far girare dei programmi tipo ProceXP per vedere i processi in corso, ma il programma si chiude subito, ho provato a far partire HijackThis, ma anche lui appena partito si chiude e quindi non riesco a generare il file LOG. Qualche idea? Grazie.

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Ciao...

controlla e riporta qui per il momento senza modificare nulla , queste due chiavi:

(start\esegui -> regedit)

Portarsi all seguente chiave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

individuare nella finestra di destra USERINIT riporta i valori che visualizzi

..

poi,

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe = [percorso al nuovo file creato]

se esiste il valore evidenziato in rosso, riportalo qui

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

Nel frattempo sono riuscito a fare partire Hijackthis, ecco il file LOG

Logfile of HijackThis v1.99.1

Scan saved at 9.21.52, on 23/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Programmi\Microsoft SQL Server\MSSQL$POSTEITALIANE\Binn\sqlservr.exe

C:\Programmi\Microsoft SQL Server\MSSQL$VLSOLE24\Binn\sqlservr.exe

C:\Programmi\Eset\nod32krn.exe

C:\Programmi\Panasonic\TrapMonitor\Trapmnnt.exe

C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

C:\WINDOWS\system32\svchost.exe

C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\keyhook.exe

C:\Programmi\QuickTime\qttask.exe

C:\Programmi\Panasonic\Panasonic-DMS\Device Monitor\DMWakeup.exe

C:\ACCA\KeyServer\ACCAKeyServer.exe

C:\Programmi\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Programmi\Panasonic\Panasonic-DMS\LRecvTrap\LRecvTrap.exe

C:\Programmi\Panasonic\Panasonic-DMS\Port Controller\Mfpscdl.exe

C:\WINDOWS\system32\sistray.exe

C:\Programmi\WinZip\WZQKPICK.EXE

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\All Users\Documenti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [siS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [Panasonic Device Monitor Wakeup] C:\Programmi\Panasonic\Panasonic-DMS\Device Monitor\DMWakeup.exe

O4 - HKLM\..\Run: [CP9X_SRV] C:\ACCA\KeyServer\ACCAKeyServer.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Gestione servizi.lnk = C:\Programmi\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O4 - Global Startup: Job Status Utility.lnk = C:\Programmi\Panasonic\Panasonic-DMS\LRecvTrap\LRecvTrap.exe

O4 - Global Startup: Panasonic Communications Utility.lnk = C:\Programmi\Panasonic\Panasonic-DMS\Port Controller\Mfpscdl.exe

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programmi\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1169391671312

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: MSSQL$POSTEITALIANE - Unknown owner - C:\Programmi\Microsoft SQL Server\MSSQL$POSTEITALIANE\Binn\sqlservr.exe" -sPOSTEITALIANE (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe

O23 - Service: Panasonic Trap Monitor Service - Panasonic - C:\Programmi\Panasonic\TrapMonitor\Trapmnnt.exe

O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Programmi\File comuni\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

O23 - Service: SQLAgent$POSTEITALIANE - Unknown owner - C:\Programmi\Microsoft SQL Server\MSSQL$POSTEITALIANE\Binn\sqlagent.EXE" -i POSTEITALIANE (file missing)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato

:P Ciao MaxM,

dal log risulta questo processo sconosciuto:

C:\ACCA\KeyServer\ACCAKeyServer.exe

se non l'hai installato tu... ti converrebbe disinstallarlo.

Poi dovresti installare un firewall migliore di quello di XP

qui trovi una guida alla scelta:

http://forum.wininizio.it/index.php?showto...st&p=251104

prova anche ad eseguire una scansione online con Kaspersky in modalità avanzata ed allega il risultato in formato html.

:P:)

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

Ti ringrazio però, a parte la lentezza con un modem analogico, mentre faccio la scansione mi si scollega ed entra il numero a pagamento. Ciao. Max.

P.S. C:\ACCA\KeyServer\ACCAKeyServer.exe è la key di un programma di disegno

Modificato da MaxM

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Inviato (modificato)

:P Ciao MaxM,

dal log risulta questo processo sconosciuto:

C:\ACCA\KeyServer\ACCAKeyServer.exe

se non l'hai installato tu... ti converrebbe disinstallarlo.

Poi dovresti installare un firewall migliore di quello di XP

qui trovi una guida alla scelta:

http://forum.wininizio.it/index.php?showto...st&p=251104

prova anche ad eseguire una scansione online con Kaspersky in modalità avanzata ed allega il risultato in formato html.

:P:)

Dopo tanto tempo sono riuscito ad attaccare il computer all'adsl così ho fatto la scansione on line con Kaspersky e mi ha trovato come minaccia con il teschio RASAPI32.DLL, l'ho cancellata, a questo punto non vedevo più nessuna CONNESSIONE DI RETE, ho preso la DLL da un PC sicuro e le CONNESSIONI DI RETE sono andate a posto.

Però il mio problema rimane, stando a vedere il PC con aperto CONNESSIONI DI RETE oltre alla connessione con Libero si crea una connessione chiamata MBNEI che tenta di connettersi al numero 357952539.

Credo che formatterò il computer. Grazie per l'aiuto. Max.

Modificato da MaxM

Condividi questo messaggio

Link di questo messaggio
Condividi su altri siti

Crea un account o accedi per lasciare un commento

Devi essere un utente registrato per partecipare

Crea un account

Iscriviti per un nuovo account nella nostra community. È facile!


Registra un nuovo account

Accedi

Sei già registrato? Accedi qui.


Accedi Ora
Accedi per seguire   
Seguaci 0
Vai alla lista Discussioni HiJackThis - Posta qui i Log