|
|
#1
6 Novembre 2008, 14:34
| |||
| |||
 HJT log Hey Evil, racconto breve, ho f'ed il mio computer per un po 'e sto usando il mio vecchio. Ho appena eseguito un log di HJT su questo e voleva essere sicuro che fosse fresco. E 'stato spybot'ed. Sono in corso Malware U ora e fare il mio primo PL, quindi non dirmi che i processi sono o I'll get a calci lol, ma volevo sapere se questo computer è stato buono. Avrei fatto prima ci sono andato su questa macchina, ma ho dimenticato. Grazie. Logfile di Trend Micro HijackThis v2.0.2 Scan saved at 4:29:12, on 11/6/2008 Piattaforma: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Processi in esecuzione: C: \ WINDOWS \ System32 \ smss.exe C: \ WINDOWS \ system32 \ winlogon.exe C: \ WINDOWS \ system32 \ services.exe C: \ WINDOWS \ system32 \ lsass.exe C: \ WINDOWS \ system32 \ Ati2evxx.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ WINDOWS \ System32 \ svchost.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe C: \ WINDOWS \ system32 \ Ati2evxx.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe C: \ WINDOWS \ system32 \ spoolsv.exe C: \ WINDOWS \ system32 \ CTsvcCDA.EXE C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe C: \ WINDOWS \ System32 \ svchost.exe C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ Mdm.exe C: \ WINDOWS \ system32 \ PnkBstrA.exe C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe C: \ WINDOWS \ system32 \ MsPMSPSv.exe C: \ WINDOWS \ Explorer.EXE C: \ Program Files \ Creative \ Shared Files \ Module Loader \ DLLML.exe C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Volume Panel \ VolPanlu.exe C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe C: \ WINDOWS \ SYSTEM32 \ CTXFISPI.EXE C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe C: \ Program Files \ Microsoft IntelliType Pro \ itype.exe C: \ Program Files \ Microsoft IntelliPoint \ ipoint.exe C: \ WINDOWS \ system32 \ CTXFIHLP.EXE C: \ WINDOWS \ CTHELPER.EXE C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ MOM.exe C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ VPTray.exe C: \ WINDOWS \ system32 \ ctfmon.exe C: \ Program Files \ Spybot - Search & Destroy \ TeaTimer.exe C: \ Program Files \ Eraser \ eraser.exe C: \ Program Files \ Windows Media Player \ WMPNSCFG.exe C: \ Program Files \ Hewlett-Packard \ Digital Imaging \ bin \ hpohmr08.exe C: \ Program Files \ Hewlett-Packard \ Digital Imaging \ bin \ hpotdd01.exe C: \ Program Files \ Hewlett-Packard \ Digital Imaging \ bin \ hpoevm08.exe C: \ WINDOWS \ system32 \ HPZipm12.exe C: \ PROGRA ~ 1 \ Yahoo! \ MESSEN ~ 1 \ ymsgr_tray.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ ccc.exe C: \ Program Files \ Hewlett-Packard \ Digital Imaging \ Bin \ hpoSTS08.exe C: \ WINDOWS \ system32 \ Wuauclt.exe C: \ Program Files \ Mozilla Firefox \ firefox.exe C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.yahoo.com R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Window Title = Windows Internet Explorer fornito da Yahoo! R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files \ Yahoo! \ Companion \ Installs \ cpn1 \ yt.dll O2 - BHO: Yahoo! Toolbar Helper - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Program Files \ Yahoo! \ Companion \ Installs \ cpn1 \ yt.dll O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ SpyBot ~ 1 \ SDHelper.dll O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files \ Yahoo! \ Companion \ Installs \ cpn1 \ yt.dll O4 - HKLM \ .. \ Run: [AudioDrvEmulator] "C: \ Program Files \ Creative \ Shared Files \ Module Loader \ DLLML.exe" -1 AudioDrvEmulator "C: \ Program Files \ Creative \ Shared Files \ Module Loader \ Audio Emulatore \ AudDrvEm.dll " O4 - HKLM \ .. \ Run: [VolPanel] "C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Volume Panel \ VolPanlu.exe" / r O4 - HKLM \ .. \ Run: [UpdReg] C: \ WINDOWS \ UpdReg.EXE O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" / r O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe" O4 - HKLM \ .. \ Run: [RemoteControl] "C: \ Program Files \ CyberLink \ PowerDVD \ PDVDServ.exe" O4 - HKLM \ .. \ Run: [QuickTime Task] "C: \ Program Files \ QuickTime \ QTTask.exe"-atboottime O4 - HKLM \ .. \ Run: [LiveUpdate] C: \ Program Files \ Byteswarm \ LiveUpdate \ jusched.exe O4 - HKLM \ .. \ Run: [itype] "C: \ Program Files \ Microsoft IntelliType Pro \ itype.exe" O4 - HKLM \ .. \ Run: [IntelliPoint] "C: \ Program Files \ Microsoft IntelliPoint \ ipoint.exe" O4 - HKLM \ .. \ Run: [IgfxTray] C: \ WINDOWS \ system32 \ igfxtray.exe O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ system32 \ hkcmd.exe O4 - HKLM \ .. \ Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM \ .. \ Run: [CTHelper] CTHELPER.EXE O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" O4 - HKLM \ .. \ Run: [BuildBU] c: \ dell \ bldbubg.exe O4 - HKLM \ .. \ Run: [ATICustomerCare] "C: \ Program Files \ ATI \ ATICustomerCare \ ATICustomerCare.exe" O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" O4 - HKLM \ .. \ Run: [StartCCC] "C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ CLIStart.exe" MSRun O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ \ VPTray.exe O4 - HKLM \ .. \ Run: [Creative Detector] C: \ Program Files \ Creative \ MediaSource \ Detector \ CTDetect.exe / R O4 - HKCU \ .. \ Run: [ctfmon.exe] C: \ WINDOWS \ system32 \ ctfmon.exe O4 - HKCU \ .. \ Run: [Yahoo! Pager] "C: \ PROGRA ~ 1 \ Yahoo! \ MESSEN ~ 1 \ YAHOOM ~ 1.EXE"-quiet O4 - HKCU \ .. \ Run: [SpybotSD TeaTimer] C: \ Program Files \ Spybot - Search & Destroy \ TeaTimer.exe O4 - HKCU \ .. \ Run: [SetDefaultMIDI] MIDIDef.exe O4 - HKCU \ .. \ Run: [Eraser] C: \ Program Files \ Eraser \ eraser.exe-hide O4 - HKCU \ .. \ Run: [WMPNSCFG] C: \ Program Files \ Windows Media Player \ WMPNSCFG.exe O4 - Global Startup: hp psc 1000 series.lnk =? O4 - Global Startup: hpoddt01.exe.lnk =? O8 - Extra contesto voce di menu: & Yahoo! Search - file: / / / C: \ Program Files \ Yahoo! \ Common / ycsrch.htm O8 - Extra contesto voce di menu: E & sporta in Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ micros ~ 2 \ Office11 \ EXCEL.EXE/3000 O8 - Extra contesto voce di menu: Yahoo! & Dictionary - file: / / / C: \ Program Files \ Yahoo! \ Common / ycdict.htm O8 - Extra context menu item: Yahoo! & Maps - file: / / / C: \ Program Files \ Yahoo! \ Common / ycdict.htm O9 - Extra pulsante: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O9 - Extra pulsante: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ micros ~ 2 \ Office11 \ REFIEBAR.DLL O9 - Extra pulsante: (no name) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ SpyBot ~ 1 \ SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ SpyBot ~ 1 \ SDHelper.dll O9 - Extra pulsante: (no name) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe O9 - Extra 'Tools' menuitem: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe O9 - Extra pulsante: Yahoo! Messenger - (E5D12C4E-7B4F-11D3-B5C9-0050045C3C96) - C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - (E5D12C4E-7B4F-11D3-B5C9-0050045C3C96) - C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe O9 - Extra pulsante: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe Ø16 - DPF: (17492023-C23A-453E-A040-C7C580BBF700) (Windows Genuine Advantage Validation Tool) -- http://go.microsoft.com/fwlink/?LinkID=39204 Ø16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (YInstStarter Class) - C: \ Program Files \ Yahoo! \ Common \ yinsthelper.dll O16 - DPF: (31E68DE2-5548-4B23-88F0-C51E6A0F695E) (Microsoft PID Sniffer) -- https: / / support.microsoft.com / OAS / ActiveX / odc.cab O16 - DPF: (3E68E405-C6DE-49 ss-83AE-41EE9F4C36CE) -- Ø16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl Class) -- http://v5.windowsupdate.microsoft.co...?1104017934731 Ø16 - DPF: (6E32070A-766D-4EE6-879c-DC1FA91D2FC3) (MUWebControl Class) -- http://update.microsoft.com/microsof...?1120930322252 Ø16 - DPF: (CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA) (Java Plug-in 1.5.0_06) -- O16 - DPF: (CE8267C2-D41A-4A50-A69D-F32B5C289F14) -- Ø16 - DPF: (F6ACF75C-C32C-447b-9BEF-46B766368D29) (Creative Software AutoUpdate Support Package) -- http://www.creative.com/su2/CTL_V020...5030/CTPID.cab - O17 HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = cc.emory.edu, service.emory.edu, emory.edu - O17 HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: SearchList = cc.emory.edu, service.emory.edu, emory.edu O23 - Service: Ati Hotkey Poller - ATI Technologies Inc. - C: \ WINDOWS \ system32 \ Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C: \ WINDOWS \ SYSTEM32 \ ati2sgag.exe O23 - Service: Broadcom ASF servizio di monitoraggio IP v6.0.4 (BAsfIpM) - Unknown owner - C: \ WINDOWS \ system32 \ basfipm.exe (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe O23 - Service: Creative Service per CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.EXE O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe O23 - Service: Sony SPTI Service per DVE (ICDSPTSV) - Sony Corporation - C: \ WINDOWS \ SYSTEM32 \ IcdSptSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE O23 - Service: PML Driver HPZ12 - HP - C: \ WINDOWS \ system32 \ HPZipm12.exe O23 - Service: PnkBstrA - Sconosciuto proprietario - C: \ WINDOWS \ system32 \ PnkBstrA.exe O23 - Service: SAVRoam (SavRoam) - symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe -- End of file - 11075 bytes |
|
#2
6 Novembre 2008, 15:32
| ||||||||||||
| ||||||||||||
| HJT log Dal momento che si stanno cominciando a conoscere malware, mi chiedo - Lei pensa che questo registro è pulito?
__________________
Il mio sistema: E 'tutto mio ...
|
|
#3
6 Novembre 2008, 16:02
| |||
| |||
| HJT log La mia cena appena ricevuto fisso, I'll get back to in circa 15 minuti dopo il mio amico lo mangio mentre è caldo. |
|
#4
6 Novembre 2008, 16:36
| |||
| |||
| HJT log Ok sorry. Sì credo che sia pulito, ma non perché ho un indizio ancora per quello che sto cercando di fare. Credo di aver praticato pretty darn sicurezza dei sistemi informatici bene su questa cosa da quando ho capito. Ho eseguito Spybot e la versione commerciale di Symantec (in contrasto con la versione consumer o la versione gratuita) su di essa in quanto ho preso. Ho utilizzato Zone Alarm come firewall mia ed erano decenti al momento. Penso però che non ho aggiornato Java in circa 6 mesi o per cui vi è una vulnerabilità esiste. Ho anche potuto ottenere gli aggiornamenti di Office per installare per quasi un anno, quindi altri possibili vulnerabilità. Quando il mio nuovo computer è andato giù (lol ho versato qualche birra oggi nel tentativo di ottenere il mio primo fatto, PL), ho dovuto usare questo. Mi sono ricordato che non dovevo usare un computer che non è stata pulita per la formazione HJT così mi sono imbattuto su questo. Non mi dica per favore, niente di mio processo di log. che devo fare che io e lo farò. Voglio solo essere sicuro che io sono in conformità con la politica della U Malware di un nuovo computer. Credo che forse avrei postato questo c'è, ma sono venuto a come la fiducia e il Male, e in misura voi, (non ho letto tutte le volte che il Male). Mi piace il fatto che stai test me, ma io sono solo in modo nuovo a questo che non posso dare alcuna risposta definative. Ask me in un mese lol. E grazie. EDIT: io però porre una domanda. Quando ho fatto il HJT abbattuto sul computer mostrava solo 10 processi. Che non mi sembra giusto così ho aperto il task manager di Windows. Difatti ci sono stati 64 processi in esecuzione in base a quello. Perché l'enorme differenza? |
|
#5
6 Novembre 2008, 16:48
| |||
| |||
| HJT log Non ti preoccupare, io non ti dirò alcuna risposta. Se l'avessi fatto, quale sarebbe il punto della tua formazione? Non si impara con me dicendo risposte - si impara facendo errori. Faccio questa chiaro a tutti i tirocinanti unisce l'Accademia dove insegno di rimozione malware. Vi dirò che, sulla base del registro hai postato, che la macchina sembra essere pulito. Qualcosa da tenere a mente anche se - HJT è un utile punto di partenza per guardare un PC - non lo è, tuttavia, darvi la storia completa. Questo è qualcosa che si impara nel corso del tempo. In risposta alla tua domanda sui processi, cominciamo dall'inizio - che cosa è esattamente HJT? Che cosa fa? It's time for letto qui, ma io questo pick up domani. |
|
#6
6 Novembre 2008, 17:10
| |||
| |||
| HJT log Bro thanks a lot. Apprezzo l'aiuto. E 'bello avere un "fuori" di risorse che io possa rimbalzare off di pensieri, senza preoccuparsi di dare risposte a me. Se faccio un passo oltre la linea so se tu o male mi dirà. EDIT: ho intenzione di fare questo i processi di questo computer, non l'altra. MAMMA uno era troppo facile. Sapevo che a colpo d'occhio ciò che Alen di questi sono stati. Sono alla ricerca del più largo questo. |
|
#7
6 Novembre 2008, 17:42
| |||
| |||
| HJT log E 'rinfrescante anche per me avere Glasgow esprimersi. E 'bene avere input da più di una fonte.
__________________  |
|
#8
6 Novembre 2008, 18:58
| |||
| |||
| HJT log Così ho il mio "nuovo" computer back on. Ecco il log HJT. Vedere i processi anche se? Mostra 10 mentre il mio task manager mostra 64. What's up with that? I 10 che sono showinfg non ho bisogno di sapere nulla di sapere quello che sono. So che anche il resto è pulito. Logfile di Trend Micro HijackThis v2.0.2 Scan saved at 1:19:15, on 11/6/2008 Piattaforma: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Processi in esecuzione: C: \ Program Files (x86) \ Spybot - Search & Destroy \ TeaTimer.exe C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ jusched.exe C: \ Program Files (x86) \ BillP Studios \ WinPatrol \ WinPatrol.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razerhid.exe C: \ Program Files (x86) \ Razer \ Lachesis \ OSD.exe C: \ Program Files \ Logitech \ GamePanel Software \ LCD Manager \ Applets \ LCDMedia.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razertra.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razerofa.exe C: \ Program Files (x86) \ Mozilla Firefox \ firefox.exe C: \ Program Files (x86) \ Trend Micro \ HijackThis \ HijackThis.exe R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/ R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, SearchAssistant = R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch = R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar, LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Installs \ CPN \ yt.dll F2 - REG: system.ini: Userinit = userinit.exe O1 - Hosts::: 1 localhost O2 - BHO: Yahoo! Toolbar Helper - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Installs \ CPN \ yt.dll O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files (x86) \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 2 \ SpyBot ~ 1 \ SDHelper.dll O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ ssv.dll O2 - BHO: (no name) - (7DB2D5A0-7241-4E79-B68D-6309F01C5231) - (no file) O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Installs \ CPN \ yt.dll O4 - HKLM \ .. \ Run: [JMB36X IDE Setup] C: \ Windows \ RaidTool \ xInsIDE.exe O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files (x86) \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ jusched.exe" O4 - HKLM \ .. \ Run: [WinPatrol] "C: \ Program Files (x86) \ BillP Studios \ WinPatrol \ winpatrol.exe"-expressboot O4 - HKLM \ .. \ Run: [Lachesis] "C: \ Program Files (x86) \ Razer \ Lachesis \ razerhid.exe" O4 - HKCU \ .. \ Run: [ehTray.exe] C: \ Windows \ ehome \ ehTray.exe O4 - HKCU \ .. \ Run: [NVIDIA nTune] "C: \ Program Files (x86) \ NVIDIA Corporation \ nTune \ nTuneCmd.exe" resetprofile O4 - HKCU \ .. \ Run: [SpybotSD TeaTimer] C: \ Program Files (x86) \ Spybot - Search & Destroy \ TeaTimer.exe O4 - HKCU \ .. \ Run: [WMPNSCFG] C: \ Program Files (x86) \ Windows Media Player \ WMPNSCFG.exe O4 - HKCU \ .. \ Run: [Eraser] C: \ Program Files \ Eraser \ eraser.exe-hide O4 - HKUS \ S-1-5-19 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'SERVIZIO LOCALE') O4 - HKUS \ S-1-5-19 \ .. \ Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll, ShowWelcomeCenter (User 'SERVIZIO LOCALE') O4 - HKUS \ S-1-5-20 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'NETWORK SERVICE') O4 - HKUS \ S-1-5-18 \ .. \ Run: [DelayShred] c: \ PROGRA ~ 2 \ McAfee \ mshr \ ShrCL.EXE / P7 / q C: \ Users \ Bill \ AppData \ Local \ micros ~ 1 \ Windows \ TEMPO R ~ 1 \ Content.IE5 \ RAH40RDV \ V_1_ ~ 1.SH! (User 'SYSTEM') O4 - HKUS \. DEFAULT \ .. \ Run: [DelayShred] c: \ PROGRA ~ 2 \ McAfee \ mshr \ ShrCL.EXE / P7 / q C: \ Users \ Bill \ AppData \ Local \ micros ~ 1 \ Windows \ TEMPO R ~ 1 \ Content.IE5 \ RAH40RDV \ V_1_ ~ 1.SH! (User 'Default user') O8 - Extra contesto voce di menu: E & sporta in Microsoft Excel - res: / / C: \ PROGRA ~ 2 \ micros ~ 2 \ Office12 \ EXCEL.EXE/3000 O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Programmi \ 2 \ Java \ JRE16 ~ 2.0_0 \ bin \ ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Programmi \ 2 \ Java \ JRE16 ~ 2.0_0 \ bin \ ssv.dll O9 - Extra pulsante: Invia a OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 2 \ micros ~ 2 \ Office12 \ ONBttnIE.dll O9 - Extra 'Tools' menuitem: S & fine a OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 2 \ micros ~ 2 \ Office12 \ ONBttnIE.dll O9 - Extra pulsante: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 2 \ micros ~ 2 \ Office12 \ REFIEBAR.DLL O9 - Extra pulsante: (no name) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 2 \ SpyBot ~ 1 \ SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 2 \ SpyBot ~ 1 \ SDHelper.dll Ø10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ nvlsp.dll Ø10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ nvlsp.dll Ø10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ nvlsp.dll Ø10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ nvlsp.dll Ø10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ nvlsp.dll Ø10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ nvlsp.dll Ø10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O13 - Gopher Prefix: Ø16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab Ø20 - AppInit_DLLs: C: \ Windows \ SysWOW64 \ guard32.dll O23 - Service: @% SystemRoot% \ system32 \ Alg.exe, -112 (ALG) - Sconosciuto proprietario - C: \ Windows \ System32 \ alg.exe (file mancanti) O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Sconosciuto proprietario - C: \ Program Files \ COMODO \ COMODO Internet Security \ cmdagent.exe O23 - Service: @ dfsrres.dll, -101 (DFSR) - Sconosciuto proprietario - C: \ Windows \ system32 \ DFSR.exe (file mancanti) O23 - Service: @% systemroot% \ system32 \ fxsresm.dll, -118 (Fax) - Sconosciuto proprietario - C: \ Windows \ system32 \ fxssvc.exe (file mancanti) O23 - Service: ForceWare Intelligent Application Manager (IAM) - Sconosciuto proprietario - C: \ Program Files \ NVIDIA Corporation \ NetworkAccessManager \ bin32 \ nSvcAppFlt. exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C: \ Program Files (x86) \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe O23 - Service: @ keyiso.dll, -100 (KeyIso) - Sconosciuto proprietario - C: \ Windows \ system32 \ lsass.exe (file mancanti) O23 - Service: @ comres.dll, -2797 (MSDTC) - Sconosciuto proprietario - C: \ Windows \ System32 \ msdtc.exe (file mancanti) O23 - Service: @% SystemRoot% \ System32 \ Netlogon.dll, -102 (Netlogon) - Sconosciuto proprietario - C: \ Windows \ system32 \ lsass.exe (file mancanti) O23 - Service: ForceWare IP service (nSvcIp) - Sconosciuto proprietario - C: \ Program Files \ NVIDIA Corporation \ NetworkAccessManager \ bin32 \ nSvcIp.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - Sconosciuto proprietario - C: \ Windows \ system32 \ nvvsvc.exe (file mancanti) O23 - Service: PnkBstrA - Sconosciuto proprietario - C: \ Windows \ system32 \ PnkBstrA.exe O23 - Service: @% systemroot% \ system32 \ psbase.dll, -300 (ProtectedStorage) - Sconosciuto proprietario - C: \ Windows \ system32 \ lsass.exe (file mancanti) O23 - Service: @% SystemRoot% \ System32 \ Locator.exe, -2 (RpcLocator) - Sconosciuto proprietario - C: \ Windows \ System32 \ Locator.exe (file mancanti) O23 - Service: @% SystemRoot% \ system32 \ samsrv.dll, -1 (SamSs) - Sconosciuto proprietario - C: \ Windows \ system32 \ lsass.exe (file mancanti) O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C: \ Program Files (x86) \ Spybot - Search & Destroy \ SDWinSec.exe O23 - Service: @% SystemRoot% \ system32 \ SLsvc.exe, -101 (slsvc) - Sconosciuto proprietario - C: \ Windows \ system32 \ SLsvc.exe (file mancanti) O23 - Service: @% SystemRoot% \ system32 \ snmptrap.exe, -3 (SNMPTRAP) - Sconosciuto proprietario - C: \ Windows \ System32 \ snmptrap.exe (file mancanti) O23 - Service: @% systemroot% \ system32 \ spoolsv.exe, -1 (Spooler) - Sconosciuto proprietario - C: \ Windows \ System32 \ spoolsv.exe (file mancanti) O23 - Service: @% SystemRoot% \ system32 \ ui0detect.exe, -101 (UI0Detect) - Sconosciuto proprietario - C: \ Windows \ system32 \ UI0Detect.exe (file mancanti) O23 - Service: @% SystemRoot% \ system32 \ vds.exe, -100 (VDS) - Sconosciuto proprietario - C: \ Windows \ System32 \ vds.exe (file mancanti) O23 - Service: @% systemroot% \ system32 \ vssvc.exe, -102 (VSS) - Sconosciuto proprietario - C: \ Windows \ system32 \ vssvc.exe (file mancanti) O23 - Service: @% systemroot% \ system32 \ wbengine.exe, -104 (wbengine) - Sconosciuto proprietario - C: \ Windows \ system32 \ wbengine.exe (file mancanti) O23 - Service: @% systemroot% \ system32 \ wbem \ wmiapsrv.exe, -110 (wmiApSrv) - Sconosciuto proprietario - C: \ Windows \ system32 \ wbem \ WmiApSrv.exe (file mancanti) O23 - Service: @% ProgramFiles% \ Windows Media Player \ wmpnetwk.exe, -101 (WMPNetworkSvc) - Sconosciuto proprietario - C: \ Program Files (x86) \ Windows Media Player \ wmpnetwk.exe (file mancanti) -- End of file - 9203 bytes |
|
#9
7 Novembre 2008, 12:05
| |||
| |||
| HJT log Tu non hai risposto alle due domande ho chiesto in precedenza a proposito HJT - quelle risposte vi aiuterà a capire ciò che si sta guardando nel registro. |
|
#10
7 Novembre 2008, 13:26
| |||
| |||
| HJT log Ci dispiace, non ho avuto risposta allora, ho dovuto cercarlo e batterlo nel mio cervello. HJT è uno strumento usato per identificare il malware. Produce una lista di impostazioni specifiche trovato su un computer gli individui. Si esegue la scansione del Registro di sistema e altri file (non so che altro ancora, ho appena iniziato) a llok per le voci simili a quelle spyware o programmi dirottatore avrebbe lasciato alle spalle. Dato che i programmi legittimi lasciare a volte lasciano le stesse cose alle spalle, devo imparare la differenza. |
