Hardware Upgrade Forum

Hardware Upgrade Forum (https://www.hwupgrade.it/forum/index.php)
-   Aiuto sono infetto! Cosa faccio? (https://www.hwupgrade.it/forum/forumdisplay.php?f=125)
-   -   HiJackThis - Analisi Log - leggere Regole di Sezione (https://www.hwupgrade.it/forum/showthread.php?t=937676)


BravoGT83 10-05-2005 09:50

HiJackThis - Analisi Log - leggere Regole di Sezione
 
Hijackthis




Hijackthis

Su windows a 64bit si deve usare HiJackFree -> HiJackFREE
(gratuito solo in ambito casalingo)
(per salvare il log basta usare l'icona in alto a sinistra proprio affianco all'icona "stampa" e scegliere la voce "HJT compatibile")


Analizzatore del LOG


Guide utili:
vi consiglio di leggere la guida in ITA prima di fare delle domande, cosi sarete più preparati ad usarlo

Tutorial in ING come analizzare il LOG


Links utili per capire dei file di Windows

Top Security Risks Listed in the WinTasks Process Library
Top Applications Listed in the WinTasks Process Library
Other Processes Listed in the WinTasks Process Library
Top System Processes Listed in the WinTasks Process Library

analogamente possiamo creare un nostro database interno con tutti i file,chiavi di registro e vari malefici :)

Come disabilitare il ripristino di sistema ->start->tutti i programmi->accessori->utilità di sistema

Come riavviare in modalità provvisoria (F8 all'avvio del pc)

Servizio Messenger
- Apri il pannello di controllo
- Doppio click su "Strumenti di Amministrazione"
- Doppio click sull'icona "Servizi"
- Scorri la lista fino a trovare "Messenger"
- Tasto destro su "Messenger" e scegli "Proprietà dal menù
- Dalla finestra che appare sotto "Tipo di Avvio" seleziona "Disabilitato" e premi Ok.

La Lista DNS
DNS Libero infostrada:
DNS Primario: 193.70.192.25;DNS Secondario: 193.70.152.25

-Alice
-Altri DNS & link 2
link 3

Removal Tools




look2me
killsgrunt
kaboom
mydoom

che capitano abbastanza di frequente ;)

e poi ho trovato un altro analizzatore on-line che, facendo una ricerca sul forum, non pare (dico pare) essere stato mai citato:

http://hjt.networktechs.com/

Rimuovere DYFuca

_________________________________________________


le nuove disposizioni prevedono che i log d'ora in avanti dovranno essere allegati non in formato compresso (zip, rar, ecc...) nella discussione tramite la funzione "Gestisci Allegati" o tramite link a servizi remoti free come http://wikisend.com/ - http://fileqube.com/ - http://www.mediafire.com/

Questo eviterà di appesantire il server (maggior velocità nel sfogliare i thread, minor disservizi, minor tempo per eseguire i backup del server) e sopratutto renderà la discussione più leggibile con i vantaggi sia per chi cerca un'analisi sia per chi dovrà assistere l'utente bisognoso.

Nessuno dovrà più dare assistenza agli utenti che non rispettono tale regola.

FOXYLADY 10-05-2005 09:57

Una guida interessante all'interpretazione dei log si trova qui

http://www.ilsoftware.it/articoli.asp?ID=2459

Ciao

SkunkWorks 68 10-05-2005 10:00

..Ottimo...Ci voleva...,usarlo come si deve non è proprio facile..si rischia di fare casini.... :D .

BravoGT83 10-05-2005 10:05

Quote:

Originariamente inviato da FOXYLADY
Una guida interessante all'interpretazione dei log si trova qui

http://www.ilsoftware.it/articoli.asp?ID=2459

Ciao

ottimo :) :) :)

davdo 10-05-2005 12:03

bella idea!

DF69 10-05-2005 18:06

Quote:

Originariamente inviato da BravoGT83
Ecco vedo ultimamente tanti utenti hanno cominciato ad usare questo programma fantastico...

quindi anziche sempre aprire mille 3d uguale :)

ecco il link dove scaricarlo

http://80.237.140.193/downloads/hijackthis_199.zip

potete farlo anche analizzare qua

http://www.hijackthis.de/index.php

in + è in italiano


se avete altre domande sul vostro log postate le qua :D

Mezzo OT

Posso prendermi il 49% dell'idea ?? :D :D :D

Uso questa battuta per upparlo ..stava uscendo dalla prima pagina ;) e mi sa che è bene che ci resti



Un saluto

coatl 10-05-2005 18:54

Quote:

Mezzo OT
Posso prendermi il 49% dell'idea ??

Uso questa battuta per upparlo ..stava uscendo dalla prima pagina e mi sa che è bene che ci resti

si ecco visto che è un programma che ormai utilizzano in molti in hw (basti vedere alle quantità di threads uguali nelle ultime settimane:"mi guardate questo log pls"?) non si riuscirebbe a farlo mettere in prima pg, come THREAD IMPORTANTE?? ;)

BravoGT83 10-05-2005 19:33

Quote:

Originariamente inviato da coatl
si ecco visto che è un programma che ormai utilizzano in molti in hw (basti vedere alle quantità di threads uguali nelle ultime settimane:"mi guardate questo log pls"?) non si riuscirebbe a farlo mettere in prima pg, come THREAD IMPORTANTE?? ;)

infatti devo chiederlo ad eraser ;)

VelenoX79 10-05-2005 20:52

Quote:

Originariamente inviato da BravoGT83
Ecco vedo ultimamente tanti utenti hanno cominciato ad usare questo programma fantastico...

quindi anziche sempre aprire mille 3d uguale :)

ecco il link dove scaricarlo

http://80.237.140.193/downloads/hijackthis_199.zip

potete farlo anche analizzare qua

http://www.hijackthis.de/index.php

in + è in italiano


se avete altre domande sul vostro log postate le qua :D


ottima idea questo thread,bravo ;)

juninho85 11-05-2005 00:36

era ora,ad aprire questa sezione ormai vi vengono i cali di zuccheri:ave:
a breve conto di stilare,oltre alla guida sulla rimozione di norton,anche una guida su come non fare del proprio pc un locale a luci rosse

eliogolf 11-05-2005 08:11

ragassuol,non so se è off topic ma..
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
Non capisco mai che è.è l'unica cosa che su quel sito dove si mette il log di hithackthis per farlo analizzare mi dà sconosciuto e nn so manco io cos'è..ad una parte avevo trovato cos'èra e mi avevo detto: ah ok è sicuro..ma ora nn me lo ricordo +,e mi vorrei togliere il dubbio :D

andyweb79 11-05-2005 08:39

ho sbagliato.. scusatemi.

BravoGT83 11-05-2005 09:16

Quote:

Originariamente inviato da eliogolf
ragassuol,non so se è off topic ma..
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
Non capisco mai che è.è l'unica cosa che su quel sito dove si mette il log di hithackthis per farlo analizzare mi dà sconosciuto e nn so manco io cos'è..ad una parte avevo trovato cos'èra e mi avevo detto: ah ok è sicuro..ma ora nn me lo ricordo +,e mi vorrei togliere il dubbio :D

la cosa migliore e' fare una ricerca su google ;)

DF69 11-05-2005 21:18

Up.. ;)






Un saluto a tutti...

bluepix 11-05-2005 21:36

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe


assolutamente legittimo

BravoGT83 11-05-2005 21:39

Quote:

Originariamente inviato da bluepix
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe


assolutamente legittimo


bene allora lo metto nel primo post cosi con il tempo facciamo un piccolo manuale :p

eliogolf 12-05-2005 08:23

scusate se ve lo chiedo ma...significa che nn è un file sospetto o che lo è ? :Prrr: :stordita: ps. come la lista dei file dannosi?allora è un file dannoso?argh :eek: ps. se vado nella cartella ci sono cartelle cn numeri tipo 6 7 8 9 che hanno quasi lo stesso contenuti..3 file exe idrir na cosa del genere cn l'icona dell'installazione tipo quella dell'acrobat ad esempio ma nn so seè proprio quella e se clicco su quell'icona mi fa il processo idriver ecc..secondome sono driver però!
PS. se va bene e nn è sospetto mi potete dire di che cosa fa parte o seè un driver?
ps. per sicurezza vi posto il log di hitjackthis completo :stordita:

Logfile of HijackThis v1.99.1
Scan saved at 11.23.54, on 12/05/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Acronis\Agent\agent.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\Belkin\Software Bluetooth\bin\btwdins.exe
C:\Programmi\ewido\security suite\ewidoctrl.exe
C:\Programmi\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programmi\Logitech\Video\LogiTray.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\WINDOWS\SM1BG.EXE
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programmi\Belkin\Software Bluetooth\BTTray.exe
C:\Programmi\GetRight\getright.exe
C:\Programmi\GetRight\getright.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Logitech\Video\FxSvr2.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Raxco\PerfectDisk\PDSched.exe
C:\PROGRA~1\FILECO~1\PCSuite\Services\SERVIC~1.EXE
C:\Programmi\SysMetrix\SysMetrix.exe
C:\Programmi\ASUS\Cool & Quiet\Cool&Quiet.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Administrator\Documenti\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwupgrade.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\acrobat_7.0_pro\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programmi\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programmi\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programmi\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programmi\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [SM1BG] C:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programmi\File comuni\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [RoxioDragToDisc] "E:\roxio\Drag to Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [DataLayer] C:\Programmi\File comuni\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programmi\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programmi\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programmi\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programmi\GetRight\getright.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: PlexTools Professional XL.lnk = C:\Programmi\Plextor\PTPXL\PTPXL.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://E:\acrobat_7.0_pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download with GetRight - C:\Programmi\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Invia a &Bluetooth - C:\Programmi\Belkin\Software Bluetooth\btsendto_ie_ctx.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organizzatore ricerche - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programmi\File comuni\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programmi\ICQLite\ICQLite.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab30149.cab
O23 - Service: Acronis Remote Agent (AcronisAgent) - Acronis - C:\Programmi\File comuni\Acronis\Agent\agent.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programmi\Belkin\Software Bluetooth\bin\btwdins.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programmi\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programmi\ewido\security suite\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - E:\powetranslator8\LogoMedia TranslateDotNet Server.exe
O23 - Service: License Management Service ESD - element5 - C:\Programmi\File comuni\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programmi\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Professional 2005.SR1\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe questo su quel sito lo da tutto ok tranne dei procewssi che nn conosce ma io li conosco e sono sicuri e idriver..

BravoGT83 12-05-2005 13:07

O4 - Global Startup: BTTray.lnk = ?

di questo cosa ne dici :mbe:

eliogolf 12-05-2005 13:59

è il bluetooth..mi dici quella cosa di idrivert o comè?

BravoGT83 12-05-2005 17:45

Quote:

Originariamente inviato da eliogolf
è il bluetooth..mi dici quella cosa di idrivert o comè?

leggi il post di bluepix


Tutti gli orari sono GMT +1. Ora sono le: 00:09.

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Hardware Upgrade S.r.l.