HiJackThis - Analisi Log - leggere Regole di Sezione

[lightwave3d]

rieccomi ..ho fatto la scansione col programma ELISTARTA e poi nuovamente una scansione col hijackthis
questi sono i due log :

ELISTARTA

http://www.zshare.net/download/4691468a90772c/


e questo è quello del HIJACKTHIS

Codice:

Logfile of HijackThis v1.99.1
Scan saved at 17.49.50, on 05/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programmi\Sygate\SPF\smc.exe
E:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
E:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
E:\WINDOWS\Explorer.EXE
E:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
E:\Programmi\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\system32\rundll32.exe
E:\WINDOWS\system32\nvraidservice.exe
E:\WINDOWS\SOUNDMAN.EXE
E:\WINDOWS\system32\RUNDLL32.EXE
E:\WINDOWS\system32\spoolsv.exe
G:\Programmi\Babylon\Babylon-Pro\Babylon.exe
E:\WINDOWS\system32\rundll32.exe
E:\Programmi\File comuni\Symantec Shared\ccApp.exe
G:\Programmi\Norton Ghost\Agent\GhostTray.exe
E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
E:\Programmi\QuickTime\qttask.exe
E:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
E:\Programmi\Microsoft Location Finder\LocationFinder.exe
E:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Programmi\Messenger\msmsgs.exe
E:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
E:\Programmi\File comuni\Ahead\Lib\NMIndexStoreSvr.exe
E:\Programmi\a-squared Free\a2service.exe
G:\Programmi\Executive Software\Diskeeper\DkService.exe
E:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
E:\WINDOWS\System32\GEARSec.exe
E:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
E:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
G:\Programmi\Norton Ghost\Agent\VProSvc.exe
E:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
E:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\wbem\unsecapp.exe
E:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE
E:\WINDOWS\system32\wuauclt.exe
E:\WINDOWS\system32\wscntfy.exe
E:\Documents and Settings\Silvano\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - e:\programmi\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - E:\Programmi\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - e:\programmi\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {4596013b-6c31-408b-a266-deae5c086dc2} - (no file)
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NVRaidService] E:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Babylon Client] G:\Programmi\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "E:\Programmi\Pirelli\Access Gateway USB Network\CnxTrApp.dll",AppEntry -REG "Pirelli\Access Gateway USB"
O4 - HKLM\..\Run: [ccApp] "E:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "G:\Programmi\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [DiskeeperSystray] "G:\Programmi\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] E:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O5 "LPT1:" /M "Stylus D88"
O4 - HKLM\..\Run: [Ulead AutoDetector v2] E:\Programmi\File comuni\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [SmcService] E:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] E:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NVMixerTray] "E:\Programmi\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GrooveMonitor] "E:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [Microsoft Location Finder] "E:\Programmi\Microsoft Location Finder\LocationFinder.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "E:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "E:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] E:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Programmi\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/camweb/camera.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{513050E1-1DE5-4F10-B8F6-B678D317BF1F}: NameServer = 85.37.17.7 85.38.28.95
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - E:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - E:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - E:\Programmi\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - E:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - E:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - G:\Programmi\Executive Software\Diskeeper\DkService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - E:\Programmi\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: GEARSecurity - GEAR Software - E:\WINDOWS\System32\GEARSec.exe
O23 - Service: Google Updater Service (gusvc) - Google - E:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - E:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norton Ghost - Symantec Corporation - G:\Programmi\Norton Ghost\Agent\VProSvc.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - E:\Programmi\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - E:\Programmi\Sygate\SPF\smc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - E:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe

Grazie ancora per l'aiuto.Ciao

[xcdegasp]

@ lightwave3d: se vedi che il log è lungo interminabile (tipo quello tuo di elistarta) non metterlo qui sul forum ma uppalo su www.zshare.com e metti qui sul forum il link ad esso

[lightwave3d]

Quote:

Originariamente inviato da xcdegasp

@ lightwave3d: se vedi che il log è lungo interminabile (tipo quello tuo di elistarta) non metterlo qui sul forum ma uppalo su www.zshare.com e metti qui sul forum il link ad esso

ah scusa ho provveduto subito a modificare il messaggio.
Ciao

[Gle89]

lightwave3d Elisarta ha eliminato ciò che doveva eliminare

Il log di HJT è pulito adesso, l'unica cosa che non mi torna è che non ho capito se hai usato o meno il tool per la rimozione di Norton Antivirus, perchè dal log risultano sempre alcune parti del Norton attive...

Fammi sapere!

[lightwave3d]

questo devo chiederlo al propietario del pc perchè non sò dirtelo..conoscendolo è facile che per disinstallarlo abbia eliminato FISICAMENTE la cartella del norton,senza usare l'unistall .
Però gli avevo consigliato di usare il JV16 x rimuovere i file del registro.Mi informerò meglio.
Grazie per tutte le dritte che mi hai dato.
Ciao

[Gle89]

Quote:

Originariamente inviato da lightwave3d

questo devo chiederlo al propietario del pc perchè non sò dirtelo..conoscendolo è facile che per disinstallarlo abbia eliminato FISICAMENTE la cartella del norton,senza usare l'unistall .

Ascolta devi dirgli di fare queste operazioni:

1) disinstallare norton (e tutte le sue componenti eccetto il ghost) dal pannello di controllo

2) usare questo tool e le sue istruzioni per rimuoverlo definitivamento. clicca qui

Fammi sapere Se vuoi dopo di questo posta un log di HJT per controllo

[lightwave3d]

ok gli dirò di fare cosi.
Grazie

[alvaruccio]

chiedo scusa e vi metto il log su zshare

http://www.zshare.net/download/469383850438f5/

ciao e scusate

[Chill-Out]

@alvaruccio

Il log è pulito

[BravoGT83]

prmo post aggiornato

[Kevin[clod]]

raga qualche anima pia potrebbe dirmi cosa eliminare per snellire un pò????e magari dare anche un'occhiata per vedere se c'è qualcosa di sospetto....tnx in anticipo...

P.S. premetto che ho un problema che non riesco a risolvere, praticamente dopo un pò che accendo il pc senza connettermi magari mentre sfoglio delle cartelle si apre da sola la connessione ad internet e si connette....premetto che questa cosa va avanti da un pò, io ho pensato che potesse essere qualche prog che cercava di aggiornarsi da solo, solo che non sono riuscito a risolvere....bha

[xcdegasp]

Quote:

Originariamente inviato da BravoGT83

prmo post aggiornato

grazie mille

[Gle89]

Quote:

Originariamente inviato da Kevin[clod]

raga qualche anima pia potrebbe dirmi cosa eliminare per snellire un pò????e magari dare anche un'occhiata per vedere se c'è qualcosa di sospetto....tnx in anticipo...

Il log è abbastanza infetto quindi prima di fare qualsiasi cosa fai cosi:

Se lo hai attivo, disabilita il ripristino di configurazione di sistema (start –
programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).

Scarica PREVX 2.0 (versione trial per 30 giorni):clicca qui per il download.
Installalo, aggiornalo (è importante) e fai una scansione completa del sistema. (ricorda che devi essere attaccato ad internet)

ELISTARTA TOOL: clicca qui per il download
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

alla fine riavvia il pc, allega come hai fatto prima il log di Elisarta e uno nuovo di HJT

[Kevin[clod]]

Quote:

Originariamente inviato da Gle89

Il log è abbastanza infetto quindi prima di fare qualsiasi cosa fai cosi:

Se lo hai attivo, disabilita il ripristino di configurazione di sistema (start –
programmi – accessori – utilità di sistema – ripristino di configurazione di sistema - impostazioni).

Scarica PREVX 2.0 (versione trial per 30 giorni):clicca qui per il download.
Installalo, aggiornalo (è importante) e fai una scansione completa del sistema. (ricorda che devi essere attaccato ad internet)

ELISTARTA TOOL: clicca qui per il download
scorri, fino in fondo, la pagina Web che si aprirà e clicca su Descargar ELISTARTA per scaricare il Tool (per comodità, posizionalo su Desktop)
Esegui ELISTARTA TOOL:
● alla prima domanda, rispondi SI
● alla seconda, rispondi SI
● alla terza rispondi NO
● si apre la finestra di scansione, clicca su Explorar
● terminata la scansione, chiudi il Tool e provvedi a riavviare il sistema
● verrà rilasciato un log dal nome infosat.txt in C: (clicca su Risorse del Computer, poi su Disco Locale C: e trovi il log e lo alleghi alla discussione)
Annotazione
dopo aver rilanciato Internet Explorer, potrebbe rendersi necessario reimpostare la propria pagina Web predefinita

alla fine riavvia il pc, allega come hai fatto prima il log di Elisarta e uno nuovo di HJT

aspita abbastanza infetto....e di cosa???pensavo di non avere niente.
Cmq premetto che uso hamachi con vnc......faccio anche la scansione con nod aggiornato??

[mauretto81]

raga... chi mi potrebbe controllare sto log? grazie...

[Gle89]

Quote:

Originariamente inviato da Kevin[clod]

aspita abbastanza infetto....e di cosa???pensavo di non avere niente.
Cmq premetto che uso hamachi con vnc......faccio anche la scansione con nod aggiornato??

No, prima fai le cose che ti ho specificato sopra poi vediamo

Ti aspetto!

[Gle89]

Quote:

Originariamente inviato da mauretto81

raga... chi mi potrebbe controllare sto log? grazie...

Il log è pulito però se vuoi puoi fixare queste voci in avvio che sono superflue e allungano i tempi in fase di caricamento del tuo pc:

Quote:

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [OM_Monitor] C:\Programmi\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Programmi\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart

[Kevin[clod]]

Scusa Gle89 mi daresti un altro link di prevx 2.0 visto che quello nel link non funge...tnx

[Mazda RX8]

Quote:

Originariamente inviato da Kevin[clod]

Scusa Gle89 mi daresti un altro link di prevx 2.0 visto che quello nel link non funge...tnx

scaricalo da qui: http://www.hwupgrade.it/download/file/3286.html

[Gle89]

Certo ecco qui il link diretto clicca qui