PDA

Visualizza versione completa : hxoh1.exe che cosa ?


taro
29-05-2006, 15.08.05
Da tre giorni un'applicazione chiamata hxoh1.exe e hxoh2.exe in WIN/TEMP cerca di collegarsi ad internet dal mio computer. C' poi un file HXOH1.LGC in WINDOWS/APPLOG.
Ho passato ad-aware, spybot search and destroy. hijackthis mi conferma che in run si attiva hxoh1.exe che ho rimosso dal disco e ho tolto tutte le chiavi nel registro, ma ogni volta che riavvio mi ritorna...
Inoltre non posso dare nessuna ricerca con google, perch quando la eseguo mi si apre anche una finestra popup che mi "suggerisce" di cercare quel termine su una pagina web il cui link non comunque ho mai cliccato... e poi in rapida successione ho errore di gdi.exe, poi explorer.exe e alla fine tutto si blocca e devo resttare.
Che cosa ??? come lo posso rimuovere? Non c' nessun riferimento su internet...
help!! :confused:

andorra24
29-05-2006, 15.13.49
Ciao, fai una scansione con bitdefender online:
http://www.bitdefender.com/scan8/ie.html

e una scansione con ewido anti-malware:
http://download.ewido.net/ewido-setup.exe

taro
29-05-2006, 15.18.18
ciao!
grazie, ma ewido funziona con winME? mi sa di no...

andorra24
29-05-2006, 15.24.15
Originariamente inviato da taro
ciao!
grazie, ma ewido funziona con winME? mi sa di no...
Non pensavo che tu avessi il ME, purtroppo allora ewido non puoi usarlo. Intanto fai la scansione con bitdefender.

c0ltran3
29-05-2006, 15.46.28
http://www.ewido.net/en/onlinescan/

prova la scansione online

taro
29-05-2006, 16.10.27
Bitdefender lo trova non lo pu aggiustare... con kaspersky risulta che trojan-downloader.win32.agent.akq
...ma nemmeno lui lo pu cancellare o aggiustare.
...strano che Norton non me lo trovi...:confused:

andorra24
29-05-2006, 16.48.47
Posta un log di hijackthis e vediamo di stanarlo da li'.

taro
29-05-2006, 16.54.27
s io lo tolgo ma poi quando gli viene voglia ritorna...

Logfile of HijackThis v1.97.7
Scan saved at 14:49:55, on 29/05/2006
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\ARCHIVOS DE PROGRAMA\KERIO\PERSONAL FIREWALL\PERSFW.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\LVCOMS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\ARCHIVOS DE PROGRAMA\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\ARCHIVOS DE PROGRAMA\USB SHARING\USBSHARE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\ARCHIVOS DE PROGRAMA\HYJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vnculos
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ARCHIVOS DE PROGRAMA\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {F995B41E-CBE3-A866-782E-8D6294DA3DEA} - C:\ARCHIVOS DE PROGRAMA\LINKOPTIMIZER\LINKOPTIMIZER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [LVComs] C:\WINDOWS\SYSTEM\LVComS.exe
O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\NAVAPW32.EXE
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMON.EXE /Consumer
O4 - HKLM\..\Run: [HXOH1.EXE] C:\WINDOWS\TEMP\HXOH1.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Archivos de programa\Archivos comunes\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [PersFw] "C:\Archivos de programa\Kerio\Personal Firewall\persfw.exe" /hide
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: USB Sharing.lnk = C:\Archivos de programa\USB Sharing\usbshare.exe
O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {DE833CC3-52E7-4C9A-BDC4-8EC24B422A2B} (Superscape VisLite) - http://www.arsvirtual.com/monum/visitas/escorial_bc/vislite/vislite.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (Control HouseCall) - http://a840.g.akamai.net/7/840/537/20000128/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {5DB05CB8-7751-469D-A1DD-45C8C201C013} (Blender 3D Plug-in Active X Control) - http://plugin.blender.nl/Blender3DPlugin.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {A8739816-022C-11D6-A85D-00C04F9AEAFB} (Web Camera Server Control) - http://wolcam2.zkm.de/wg_webeye.cab
O16 - DPF: {A48D0309-8DA3-41AA-98E4-89194D471890} (Pulse V5 ActiveX Control) - http://www.pulse3d.com/players/english/5.0/win/PulsePlayer5AxWin.cab
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37890.4376041667
O16 - DPF: {88D8E8B7-A33B-4417-A385-8373484D43ED} (InstallHelper Class) - file://C:\WINDOWS\TEMP\ThereInstallHelper.dll
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://128.104.212.11/activex/AMC.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://43.232.85.154/activex/AxisCamControl.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - http://player.virtools.com/downloads/player/Install3.0/Installer.exe
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://axis.axiscam.net/activex/AMC.cab
O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KX-HCM10 Control) - http://wanwanhouse.homeip.net/kxhcm10.ocx
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

realtebo
29-05-2006, 16.55.55
manco google ci aiuta stavolta.

non che hook1.exe ?

realtebo
29-05-2006, 16.57.10
aggiorna hijackthis alla 1.991.1 e riprova senn neppure le analisi online funzionano...

cmq il fatto che sia presente nella cartella temp non un sintomo di buone cose...

killa il processo, elimina a manazza la riga dal registro e riavvia

andorra24
29-05-2006, 17.10.44
Scarica hijackthis 1.99.1 da qui e riposta un nuovo log:
http://majorgeeks.com/downloadget.php?id=3155&file=1&evp=3304750663b552982a8baee6434cfc13

taro
29-05-2006, 17.20.00
ewido online non mi funziona, con IE crasha, con Mozilla o Firefox dice che non ho active x...

Originariamente inviato da c0ltran3
http://www.ewido.net/en/onlinescan/

prova la scansione online

realtebo
29-05-2006, 18.02.08
Originariamente inviato da andorra24
Scarica hijackthis 1.99.1 da qui e riposta un nuovo log:
http://majorgeeks.com/downloadget.php?id=3155&file=1&evp=3304750663b552982a8baee6434cfc13

prova a scaricarti la v nuova...

Grouchomarx
01-06-2006, 16.18.25
Fai una scansione con a - squared