HiJackThis - Analisi Log - leggere Regole di Sezione

[paolo-fcb]

Quote:

Originariamente inviato da murack83pa

infatti era quella la versione che dovevi scaricare

OK e grazie Murack, ma tu mi consigliavi di disinstallare il java precedente e mettere questo nuovo, che faccio lascio tutto così cioè mi tengo l'update e bon?
Ciao

[murack83pa]

Quote:

Originariamente inviato da paolo-fcb

OK e grazie Murack, ma tu mi consigliavi di disinstallare il java precedente e mettere questo nuovo, che faccio lascio tutto così cioè mi tengo l'update e bon?
Ciao

va bene cosi

ciao

[vik]

Quote:

Originariamente inviato da murack83pa

ciao

leggiti queste direttive,:
regole di sezione

sorry
nessuno sa darmi qualche consiglio su cosa fare, ho fatto fare una scansione con spyware terminetor e risulta pulito

[murack83pa]

Quote:

Originariamente inviato da vik

.....

ciao,
sei infetto, segui la guida alla disinfezione

prima di iniziare la guida, devi installare un antivirus,visto che ne sei sprovvisto:
Ti presento il migliore antivirus free attualmente sulla piazza:
ANTIVIR PERSONAL EDITION FREE: DOWNLOAD
● una volta installato, scarica gli aggiornamenti e poi, esegui una scansione completa del sistema.

posta qui il report

devi aprire una nuova discussione, e posta i log richiesti secondo quanto scritto qui sotto

a questo proposito, questo 3d ha delle sue specifiche regole, ovvero dovresti modificare il tuo post precedente dove hai inserito il log (che peraltro è incompleto) secondo le seguenti regole:

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

[vik]

l'antivirus cè uso norton (usa perche il pc non è mio) il logo e stato fatto in modalita provvisoria , perchè dici incompleto

[murack83pa]

Quote:

Originariamente inviato da vik

l'antivirus cè uso norton (usa perche il pc non è mio) il logo e stato fatto in modalita provvisoria , perchè dici incompleto

xchè in modalità provvissoria?
fallo in modalità normale

manca la prima parte

[paolo-fcb]

Ragazzi, il log che posto non è del mio pc ma di un ufficio, ci sono vari problemi, ad esempio stamattina Win XP professional si è chiuso ed è apparsa una schermata blu che diceva errore nel ntfs.sys insomma nel file di sistema, dopo 2 riavvii e uno scandisk ora funge ma cmq è na skifezza.
Ecco il log, grazie, Paolo

http://www.zshare.net/download/70196075fc3153/

su file up è qui: http://www.fileup.itadib.com/downloa...fQt9JQxMTywUS0

[Mazda RX8]

Quote:

Originariamente inviato da paolo-fcb

Ragazzi, il log che posto non è del mio pc ma di un ufficio, ci sono vari problemi, ad esempio stamattina Win XP professional si è chiuso ed è apparsa una schermata blu che diceva errore nel ntfs.sys insomma nel file di sistema, dopo 2 riavvii e uno scandisk ora funge ma cmq è na skifezza.
Ecco il log, grazie, Paolo

http://www.zshare.net/download/70196075fc3153/

su file up è qui: http://www.fileup.itadib.com/downloa...fQt9JQxMTywUS0

log pulito... cmq qsti errori sono + ke altro derivati da hardware difettoso...

[murack83pa]

Quote:

Originariamente inviato da paolo-fcb

.....

ciao paolo,
c'è questo falso servizio, che nn so a cosa sia dovuto, ma sicuramente da fixare

Quote:

O23 - Service: Controllo Browser Locale (cbrwlcl) - Unknown owner - C:\WINDOWS\Downlo~1\edxl2\k74qsca.exe (file missing)

si possono cmq eliminare alcune voci in avvio di win:

Quote:

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background

c sono 2 messenger: dovresti disinstallare quello piu vecchio

vai in questo sito:
http://secunia.com/software_inspector/
fai l'analisi del pc,in questo modo vengono indicati tutti gli aggiornamenti critici dei programmi installati (come Java,SQL,ecc)

in conclusione:
la prima voce che ti ho indicato è sospeta e va fixata, e nn so se è il caso di proseguire con i controlli e le scansioni della guida alla disinfezione

EDIT: è probabile sia presente una infezione, quindi è consigliabile seguire la guida alla disinfezione
ciao

[murack83pa]

Quote:

Originariamente inviato da Mazda RX8

log pulito... cmq qsti errori sono + ke altro derivati da hardware difettoso...

confermo che il piu delle volte, le famose schermate blu dipendono da problemi hardware

ciao mazda,che pensi di quel servizio?

[Mazda RX8]

Quote:

Originariamente inviato da murack83pa

confermo che il piu delle volte, le famose schermate blu dipendono da problemi hardware

ciao mazda,che pensi di quel servizio?

da nome si capisce ke è un viruz...

help meeeeeeee


Logfile of HijackThis v1.99.1
Scan saved at 14.22.06, on 30/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Programmi\Eset\nod32krn.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Canon\CAL\CALMAIN.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Eset\nod32kui.exe
C:\Program Files\GlobespanVirata\Adsl\dslstat.exe
C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmi\WIDCOMM\Software Bluetooth\BTTray.exe
C:\PROGRA~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\ATI Technologies\ATI.ACE\cli.exe
C:\Programmi\Windows Live\Messenger\usnsvc.exe
C:\Programmi\eMule\emule.exe
C:\Programmi\Last.fm\LastFMHelper.exe
C:\Programmi\Last.fm\LastFM.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Documents and Settings\fabio\Documenti\utility\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tim.it/consumer/homepage.do
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programmi\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programmi\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DSLSTATEXE] C:\Program Files\GlobespanVirata\Adsl\dslstat.exe icon
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\GlobespanVirata\Adsl\dslagent.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programmi\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - Startup: Last.fm Helper.lnk = C:\Programmi\Last.fm\LastFMHelper.exe
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programmi\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{935E494C-562D-4F76-ADCB-E54E492BC25E}: NameServer = 193.70.152.15 193.70.152.25
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programmi\File comuni\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\FILECO~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programmi\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programmi\Canon\CAL\CALMAIN.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programmi\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Unknown owner - C:\Programmi\Ahead\InCD\InCDsrv.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - C:\Programmi\File comuni\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Unknown owner - C:\Programmi\File comuni\Roxio Shared\SharedCOM8\RoxWatch.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: UPnPService - Magix AG - C:\Programmi\File comuni\MAGIX Shared\UPnPService\UPnPService.exe






cavolo mi si aprono delle pagine di firefox conn pubblicità!!!
ho usato adware ma nulla...

[murack83pa]

ciao fabius,

gentilmente modifica (nn crearne uno nuovo) il tuo post secondo quanto stabiliscono le regole del 3d, grazie :

MODALITA' DI PUBBLICAZIONE DEI LOG RICHIESTI:

1- Se il log generato è max 20 kb, prima salvalo in formato .txt e poi allegalo alla discussione, utilizzando l'apposita funzione GESTISCI ALLEGATI;
2- Se è superiore a 20 kb, ogni singolo log, esclusivamente in formato txt, deve essere caricato su FileUp, pubblicando, per ogni log, il link che verrà rilasciato per il download.
E' preferibile pubblicare i log in un unico post, separatamente, non zippateli

[lancetta]

@paolo-fcb

digita start->esegui scrivi cmd digita
sc stop cbrwlcl
sc delete cbrwlcl

ammesso che te lo faccia fare essendo il pc dell'ufficio (dovresti essere admin)

[Fedino]

Ciao a tutti, potreste dare un'occhiata a questo log e darmi dei consigli? Grazie..

P.s. Secondo i test di vulnerabilità la mia porta tcp1863 è sempre aperta anche con windows live messenger non attivo, dove potrebbe essere il problema?

[Mazda RX8]

Quote:

Originariamente inviato da Fedino

Ciao a tutti, potreste dare un'occhiata a questo log e darmi dei consigli? Grazie..

P.s. Secondo i test di vulnerabilità la mia porta tcp1863 è sempre aperta anche con windows live messenger non attivo, dove potrebbe essere il problema?

fixa:

O20 - AppInit_DLLs:

[murack83pa]

Quote:

Originariamente inviato da Fedino

Ciao a tutti, potreste dare un'occhiata a questo log e darmi dei consigli? Grazie..

P.s. Secondo i test di vulnerabilità la mia porta tcp1863 è sempre aperta anche con windows live messenger non attivo, dove potrebbe essere il problema?

ciao,
c'è questa voce sospetta,fixala:

Quote:

O20 - AppInit_DLLs

hai traccia ancora di norton,fixa questa voce:

Quote:

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

esiste un 3d x la completa rimozione di prodotti norton:
http://www.hwupgrade.it/forum/showthread.php?t=1630445

fixa queste voci:

Quote:

O4 - HKLM\..\Run: [DPAgnt] C:\Program Files\DigitalPersona\Bin\DPAgnt.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O23 - Service: @%SystemRoot%\ehome\ehstart.dll,-101 (ehstart) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - %windir%\system32\svchost.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - %ProgramFiles%\Windows Media Player\wmpnetwk.exe (file missing)

devi aggiornare java

[gertuzz]

ciao, potreste darmi una controllatina al mio log? grazie.

[murack83pa]

Quote:

Originariamente inviato da gertuzz

ciao, potreste darmi una controllatina al mio log? grazie.

ciao,
il log sembra pulito
devi aggiornare internet explorer all'ultima versione, DOWNLOAD

fixa queste voci x un avvio piu veloce:

Quote:

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [SweetIM] C:\Programmi\Macrogaming\SweetIM\SweetIM.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe

ti consiglio di disinstallare le 2 toolbar di google e di sweetim xchè portatori sani di malware

devi anche aggiornare java

[Fedino]

Quote:

Originariamente inviato da murack83pa

ciao,
c'è questa voce sospetta,fixala:



hai traccia ancora di norton,fixa questa voce:


esiste un 3d x la completa rimozione di prodotti norton:
http://www.hwupgrade.it/forum/showthread.php?t=1630445

fixa queste voci:



devi aggiornare java

Scusa ma a me dice che di java ho la versione più recente..