HiJackThis - Analisi Log - leggere Regole di Sezione

[Chill-Out]

Quote:

Originariamente inviato da Robialpa

Salve.

Vorrei chiedere il favore di controllare il log allegato. Un semplice controllo periodico, ma alcune voci come questa:

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\windows\bdoscandel.exe

mi convincono poco, percui devo chiedere un aiuto a chi ne sa di più.

Grazie anticipatamente,
Roberto


http://wikisend.com/download/909020/hijackthis.log

Dal log non emerge nulla di particolare, immagino che tu conosca questi DNS

217.199.1.1
217.199.0.250

Quote:

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\windows\bdoscandel.exe

fa riferimento alla scanner online di BitDefender

NB: devi aggionare il SO al SP3

[unpipo]

Mi hanno riferito che uno dei miei pc "è pieno di virus". Potreste dare un occhiata a questo? grazie mille!

il log è qui http://wikisend.com/download/498330/...s 23_11_09.txt

[Suchoparek]

Ciao a tutti, potete fare un controllino a questo log, ho trovato qualcosa di strano ma per non rischiare preferisco chiedere agli esperti.

Grazie.

[Robialpa]

Molte grazie per l'analisi!!!

Quote:

Originariamente inviato da Chill-Out

Dal log non emerge nulla di particolare, immagino che tu conosca questi DNS

217.199.1.1
217.199.0.250

A dir la verità no, mi connetto da una rete locale, quindi immagino che siano quelli del router e dell'altro pc connessi alla rete.
C'è modo di scoprirlo?

Quote:

Originariamente inviato da Chill-Out

NB: devi aggionare il SO al SP3

Già, già... mi devo decidere a farlo...


Ancora grazie, Roberto

[wjmat]

Quote:

Originariamente inviato da unpipo

Mi hanno riferito che uno dei miei pc "è pieno di virus". Potreste dare un occhiata a questo? grazie mille!

il log è qui http://wikisend.com/download/498330/...s 23_11_09.txt

ciao

dal log non mi sembra ci sia nulla di strano a parte questa

Quote:

C:\IPSOAWIN\FISBIG\FISBIG.EXE

la conosci?

fixa queste

Codice:

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AliceRE_McciTrayApp] C:\PROGRA~1\ALICET~1\vendors\AliceRE\content\template\driven~1\syncer\MCCITR~1.E XE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Alice ti aiuta.lnk = C:\Programmi\Alice ti aiuta\bin\matcli.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {8EC18CE2-D7B4-11D2-88C8-006008A717FD} (NCSView Class) - http://ww3.atlanteitaliano.it/ecwplugins/ncs.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {B9940246-4344-4D1B-BD82-DBAF7E657FF9} (AudioClient Control) - http://82.91.20.57:8093/SysCamInst.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

[unpipo]

Quote:

Originariamente inviato da wjmat

ciao

dal log non mi sembra ci sia nulla di strano a parte questa

la conosci?


[/code]

Sì, è una banca dati legale. Grazie e provvedo!

[wjmat]

Quote:

Originariamente inviato da Suchoparek

Ciao a tutti, potete fare un controllino a questo log, ho trovato qualcosa di strano ma per non rischiare preferisco chiedere agli esperti.

Grazie.

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [H2O] C:\Programmi\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programmi\File comuni\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [ExerciseMinder] C:\Programmi\Archer Dohller\ExerciseMinder\ExerciseMinderClient.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [DownloadAccelerator] "C:\Programmi\DAP\DAP.EXE" /STARTUP
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [FMCore.exe] "C:\Programmi\Extensis\Suitcase Fusion 2\FMCore.exe" -standalone
O4 - HKCU\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15031/CTSUEng.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://cache.systemrequirementslab.com/htdocs/srl_bin/sysreqlab_srl.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {39D420B3-E0EB-424C-89AA-C24F8DE7EF79} (KooPlayer Control) - http://www.coolstreaming.us/webtv/tvkoo/KooPlayer.ocx
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/IT-IT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site .cab?1193675569734
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab
O16 - DPF: {BC18E6DF-BE57-4580-93E8-F228F9A133AA} (MaxisSimCity4LotTeleX Control) - http://simcity.ea.com/exchange/lots/teleport/MaxisSimCity4LotTeleX.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15031/CTPID.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

[Suchoparek]

Grazie della pronta risposta!
Ho fixato quello che mi hai detto, qualcosa in O4 l'ho lasciata com'era per convenienza, anche se a dire il vero faccio un uso intensivo della Sospensione, lo riavvio una volta ogni due settimane...
Di queste altre voci cosa ne dici? A me paiono strane, ma forse sbaglio...

Codice:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\System32\CTsvcCDA.exe (file missing)

[wjmat]

Quote:

Originariamente inviato da Suchoparek

Grazie della pronta risposta!
Ho fixato quello che mi hai detto, qualcosa in O4 l'ho lasciata com'era per convenienza, anche se a dire il vero faccio un uso intensivo della Sospensione, lo riavvio una volta ogni due settimane...
Di queste altre voci cosa ne dici? A me paiono strane, ma forse sbaglio...

Codice:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\System32\CTsvcCDA.exe (file missing)

niente di preoccupante

[Suchoparek]

Allora non fixo, grazie mille!!

[Chill-Out]

Quote:

Originariamente inviato da Robialpa

Molte grazie per l'analisi!!!



A dir la verità no, mi connetto da una rete locale, quindi immagino che siano quelli del router e dell'altro pc connessi alla rete.
C'è modo di scoprirlo?



Già, già... mi devo decidere a farlo...


Ancora grazie, Roberto

Ti dice nulla

Brennercom AG S.p.A.

[wjmat]

Quote:

Originariamente inviato da Suchoparek

Allora non fixo, grazie mille!!

di nulla, ciao

[Robialpa]

Quote:

Originariamente inviato da Chill-Out

Ti dice nulla

Brennercom AG S.p.A.

E si, mi dice qualcosa. Molte molte grazie...

[Chill-Out]

Quote:

Originariamente inviato da Robialpa

E si, mi dice qualcosa. Molte molte grazie...

Prego

[Ste868686]

Come indicato precedentemente leggere le Regole di sezione



trovate quacosa di strano in questo log?

Il fatto è che mi sembra che venga occupata troppa ram in poco tempo, all'avvio parte con 350mb circa, poi dopo la prima cosa che faccio sale a 500mb

[19Gio88]

1) Leggi le regole di sezione prima di postare una lista del genere (il log va messo con la "gestione allegati").
2) E' tutto a posto, aggiornato anche. Per quanto riguarda la Ram, noto che hai tanti programmi installati che potrebbro essere di scarso utilizzo, ti consiglio quindi di disinstallare quello che non serve nel caso questo crei processi inutili all'avvio, oppure semplicemente disattivare la funzione di start all'avvio per taluni programmi che trovi inutile che partano all'avvio. Un programma come CCleaner può essere utile dato che ti permette di fare entrambe le cose senza bisogno di saltare da un programma all'altro tra quelli forniti da windows. Per maggiori informazioni su tale processo vai nella sezione dedicata alla ram. Saluti.

[Ste868686]

ti ringrazio

[Ste868686]

tipo quali?

io vedo che il wuauclt.exe utiliozza parecchia ram, e anche esplorer ne utilizza di più del solito, sono gli aggiornamenti windows ad aver causato questo?

[19Gio88]

Explorer lascialo intatto.
Di wuauclt.exe è legato agli aggiornamenti di Windows.
I processi legati alla HP potrebbero essere anch'essi inutili, controlla bene prima di eliminarli. Poi ci sono anche processi di Windows che sul mio pc ho terminato senza alcun problema, ma devi rapportarli alle tue esigenze.
Controlla la reale utilità di cose tipo Babylon (di cui noto molte tracce), PerfectDisk (JK Defrag GUI è molto piu leggero), ESET Smart Sicurity, o le varie Toolbar di Explorer (tu usi solo Internet Explorer? Ti consiglio qualsiasi altro Browser fuorchè quello)

Se poi sai un po l'inglese vai su www.processlibrary.com, dove ti spiega ogni processo a che cosa serve, in modo che tu possa valutare se deletarlo o no, io non posso assumermi la responsabilità di farti chiudere dei processi.

[xcdegasp]

Quote:

Originariamente inviato da Ste868686

tipo quali?

io vedo che il wuauclt.exe utiliozza parecchia ram, e anche esplorer ne utilizza di più del solito, sono gli aggiornamenti windows ad aver causato questo?

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

O23 - Service: getPlus(R) Helper - Unknown owner - C:\Programmi\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: PCO scheduler service - Unknown owner - C:\Programmi\PCOptimizer\PCoptimizerService.exe (file missing)

ovviamente poi reinstalla questi due programmi se vuoi usarli ancora..

ewido lo puoi benisismo disinstallare perchè la 4.0 è cessata d'esistere da 2 anni sicuri
ewido è stata comprata da avg