Computer che si riavvia ...ecco il mio log HijackThis

sinisass

Utente Attivo
56
0
CPU
amd 6000+
HDD
750
RAM
2 giga
Ciao a tutti..da ieri ho il computer che si riavvia random , avira mi ha trovato qualcosa che ho eliminato ma penso che mi si ricrea.. ecco il log


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 08:32:06, on 28/01/2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v9.00 (9.00.7930.16406)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Windows\system32\wuauclt.exe
C:\Users\Sini\Desktop\Windows 7 Loader-WWW.SPARKBLOG.ORG.exe
C:\Program Files\Java\jre6\bin\javaw.exe
C:\Windows\system32\taskmgr.exe
C:\Windows\system32\msconfig.exe
C:\Program Files\SRWare Iron\iron.exe
C:\Program Files\SRWare Iron\iron.exe
C:\Program Files\SRWare Iron\iron.exe
C:\Program Files\SRWare Iron\iron.exe
C:\Program Files\SRWare Iron\iron.exe
C:\Users\nok\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN : Hotmail, Messenger, Bing, Actualité et Sport
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN : Hotmail, Messenger, Bing, Actualité et Sport
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Program Files\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [{EDAA67B7-68A9-4EAB-AD99-8533BC37F0AC}] C:\Users\Sini\AppData\Roaming\Muyz\coezk.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [JP595IR86O] C:\Windows\TEMP\Od1.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [JP595IR86O] C:\Windows\TEMP\Od1.exe (User 'Default user')
O4 - .DEFAULT User Startup: apofi.exe (User 'Default user')
O4 - .DEFAULT User Startup: awak.exe (User 'Default user')
O4 - .DEFAULT User Startup: ixmeuw.exe (User 'Default user')
O4 - .DEFAULT User Startup: koziak.exe (User 'Default user')
O4 - .DEFAULT User Startup: mehuiz.exe (User 'Default user')
O4 - .DEFAULT User Startup: syyqq.exe (User 'Default user')
O4 - .DEFAULT User Startup: ygym.exe (User 'Default user')
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/webgames/popcaploader_v10.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DCF946E-27E0-45FB-B975-0FFBEA9B2427}: NameServer = 85.
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3182C56-FB18-478F-AF47-932FDF061485}: NameServer = 85.37.
O17 - HKLM\System\CS1\Services\Tcpip\..\{0DCF946E-27E0-45FB-B975-0FFBEA9B2427}: NameServer = 85.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{0DCF946E-27E0-45FB-B975-0FFBEA9B2427}: NameServer = 85
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AMService - Unknown owner - C:\Windows\TEMP\bpcv\setup.exe (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: The Cleaner 2011 Helper Service (moohelp) - MooSoft Development LLC - C:\Program Files\The Cleaner\mhelper.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Cryptainer service (ssoftservice) - Cypherix Software (India) Pvt. Ltd. - C:\Windows\system32\cryptainersrv.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\Program Files\NVIDIA Corporation\System Update\UpdateCenterService.exe

il problema e- che se fixo con hijack poi i problemi ed i files in questione rimangono ..infatti ho fatto il controllo del log online e fixato le stringhe sospette.
il punto 017 con gli I.P. non mi piace
Grazie a chi mi dara- una mano
 

pegifr

Bannato a Vita
491
84
Ciao
Hai ragione il tuo sistema sembra essere infetto.

Procedi così:
Scarica TFC e salvalo sul desktop > http://oldtimer.geekstogo.com/TFC.exe
Chiudi tutti i programmi ed avvialo.
Clicca su Start
Dai OK accettando il riavvio.

Poi:
Scarica il file allegato e salvalo sul desktop. Cambia l’estensione da .txt a .bat
Doppio clic per avviarlo. Verrà prodotto un log e salvato sul desktop: Log1.txt
Allegalo per un controllo.
Per cambiare l’estensione di un file (semmai ne avessi bisogno):
Apri Esplora risorse o qualsiasi altra cartella > Organizza > Opzioni cartella e ricerca > Visualizzazione > seleziona Visualizza cartelle, file e unità nascoste > togli la spunta a Nascondi le estensioni per i tipi di file conosciuti > Applica > OK
Adesso sei in grado di visualizzare le estensioni dei files e cambiarle.
Terminata questa operazione torna alle impostazioni di default.

Poi:
Scarica DeFogger > http://download.bleepingcomputer.com/jpshortstuff/Defogger.exe
Salvalo sul desktop ed eseguilo.
Clicca su Disable. Conferma. Premi OK. Chiudi la schermata precedente. Verrà prodotto un log sul desktop (DeFogger_Disable). Se sono presenti i drivers che ricerchiamo verrà riavviato il pc. In questo modo abbiamo disattivato eventuali drivers nascosti di alcuni programmi che potrebbero interferire con lo scan antirootkit.

Poi, disattiva tutti i programmi di sicurezza e:

Scarica DDS > http://www.bleepingcomputer.com/download/anti-virus/dds
Clicca su Download Now. Salvalo sul desktop ed eseguilo.
Aspetta la fine della scansione. Si apriranno due reports: DDS.txt ed Attach.txt
Salvali ed allegali per un controllo.

E poi:
Scarica Rootkit Unhooker > http://www.kernelmode.info/ARKs/RKUnhookerLE.EXE
Salvalo sul desktop ed eseguilo.
Vai nella scheda Report e clicca Scan. Seleziona solo Drivers e Stealth Code. Clicca OK.
Alla fine della scansione, clicca su File > Save Report
Allega il log Report.txt per un controllo.

NB. Se dovessi ricevere questo messaggio:
"Rootkit Unhooker ha rilevato un parassita dentro di sé!
Si consiglia di rimuovere il parassita, okay?"

Clicca su Annulla, quindi Accetto

Logs da allegare:
Log1.txt
DDS.txt
Attach.txt
Report.txt
 
  • Like
Reactions: sinisass

sinisass

Utente Attivo
56
0
CPU
amd 6000+
HDD
750
RAM
2 giga
ciao e grazie tante..sono arrivato al punto 3 ( DDS ) solo che non mi apre la pagina.....consigli ?

intanto ti mando il primo log e Defogger non mi ha riavviato il pc
 

pegifr

Bannato a Vita
491
84
Scarica TDSSKiller e salvalo sul desktop.
Estrai il contenuto sul desktop.
Assicurati che TDSSKiller.exe sia sul desktop.

Start > Esegui > copia/incolla il seguente comando e dai OK.
"%userprofile%\Desktop\TDSSKiller.exe" -l report.txt

Clicca su Start Scan.
Se c’è un’infezione, l'azione di default sarà cure. Clicca su continua.
Se c’è il sospetto di un’infezione, l'azione di default sarà skip. Clicca su continua.
Se viene richiesto il riavvio, accetta.
Il rapporto si troverà in C:, sotto queste sembianze: TDSSKiller.[Version]_[Date]_[Time]_log.txt
Se non è stato richiesto il riavvio, chiudi e clicca su report. Salva il contenuto in un file di testo per poi allegarlo.

EDIT: allega anche il report di DeFogger > DeFogger_Disable.txt
 

sinisass

Utente Attivo
56
0
CPU
amd 6000+
HDD
750
RAM
2 giga
Allora : mi ha trovato 2 infezioni Tdsskiller , ho riavviato ma niente log...questo che ti mando e' quello che ho fatto dopo il riavvio .

Trojan scanner ( che ho in esecuzione )mi da ogni 5 minuti errore su userinit.exe


HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\"Userinit"
 

pegifr

Bannato a Vita
491
84
Start > scrivi regedit e dai invio
Segui questo percorso:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon

Clicca una volta su WinLogon. A destra verso la fine clicca due volte su Userinit.
Dovrebbe esserci normalmente: C:\Windows\system32\userinit.exe,
Ma tu dovresti avere: C:\Windows\system32\userinit.exe
Quindi senza la virgola finale, potresti confermarmelo?
 

sinisass

Utente Attivo
56
0
CPU
amd 6000+
HDD
750
RAM
2 giga
Start > scrivi regedit e dai invio
Segui questo percorso:
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon

Clicca una volta su WinLogon. A destra verso la fine clicca due volte su Userinit.
Dovrebbe esserci normalmente: C:\Windows\system32\userinit.exe,
Ma tu dovresti avere: C:\Windows\system32\userinit.exe
Quindi senza la virgola finale, potresti confermarmelo?

Esatto , la virgola non c'e' !!
 

sinisass

Utente Attivo
56
0
CPU
amd 6000+
HDD
750
RAM
2 giga
Avevi già utilizzato TDSSKiller?

Si .. regedit l'ho aperto poco fa ma tdsskiller l'ho usato prima del riavvio .
Oppure intendi se l'ho utilizzato in altre occasioni ?
In questo caso la risposta e' no..questa e' la prima volta .
 

Entra

oppure Accedi utilizzando

Hot: PS5 VS XBOX X/S?

  • Playstation 5

    Voti: 303 63.3%
  • XBOX Series X/S

    Voti: 176 36.7%

Discussioni Simili