HiJackThis - Analisi Log - leggere Regole di Sezione

[wjmat]

Quote:

Originariamente inviato da 3ale

ciao!

ho cercato di seguire le vostre guide ...e vi posto il nuovo log di hijack e quello di un secondo pc. come scansioni ho fatto ccleaner, malwarebites, gmer e prevx ma niente di rosso.

grazie

ciao

log pulito

[wjmat]

Quote:

Originariamente inviato da 3ale

questo è l'altro log

grazie

Fai start →Esegui → digita in sequenza

Codice:

sc stop avptool_setup  (invio)
sc delete avptool_setup (invio)

e controlla in hjt che poi non ricompaia

Codice:

O23 - Service: avptool_setup - Unknown owner - C:\Documents and Settings\ale\Desktop\Virus Removal Tool\avptool_setup\avptool_setup.exe (file missing)

poi mi sembra tutto ok

[wjmat]

Quote:

Originariamente inviato da PEGGY_1_9_6_4

Ciao a tutti, innanzitutto mi scuso in anticipo se non sto scrivendo nel posto giusto ma ho girato in lungo ed in largo all'interno del forum in cerca di risposta e da questa mattina ad ora mi ricordo appena come mi chiamo...vi spiego il problema:
all'avvio di win Xp Sp.3 explorer sembra caricarsi e poi scompare come un interruttore inserito/disinserito - scompaiono/appaiono icone e barre.
Avevo installato aggiornamenti del so e pensando fossero quelli li ho disinstallati ma niente, fatto + controlli alla ricerca di virus e simili con esito negativo, leggendo in giro ho provato varie guide x ripristinare explorer.exe ma niente.
Se ho capito bene postandovi il file log di HiJackThis mi potete aiutare....lo allego....VI PREGO SONO DISPERATAAAAAA

Ciao

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Carica il nuovo log rinominato in .txt e lo carichi con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Codice:

O4 - HKLM\..\Run: [LaCie Hard Drive Configuration] C:\Programmi\LaCie\SAFE Hard Drive\SAFE Hard Drive Configuration.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1225194602609
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://tiscaliit.oberon-media.com/online2/zuma/oberongamesloader.cab

dal log di hjt non si vede nulla di sospetto

manca un antivirus, installa e configura antivir come indicato qui, fai una scansione completa e carichi il log/report secondo le modalità

[3ale]

Fatto come hai detto e non ricompare. ho fixato due voci messenger in 09 e ti chiedo se posso fixare sempre all'interno dei 09 le voci che ho contrassegnato con c.

ciao e grazie

[wjmat]

Quote:

Originariamente inviato da 3ale

Fatto come hai detto e non ricompare. ho fixato due voci messenger in 09 e ti chiedo se posso fixare sempre all'interno dei 09 le voci che ho contrassegnato con c.

ciao e grazie

le 09 e O18 prova a fixarle, dovrebbero solamente farti sparire dalla barre di explorer e IE i riferimenti a onenote e l'integrazione di groove tra i protocolli

il servizio 023 puoi metterlo in manuale nella scheda servizi

[scotch]

x me no??

[Chill-Out]

Quote:

Originariamente inviato da scotch

x me no??

1 Esegui HJT clicca su Do a system scan only e metti il segno di spunta nella casella bianca a sx delle sottoindicate voci e clicca su Fix cheked:

Quote:

O4 - HKCU\..\Run: [gwykwky] "c:\documents and settings\scotch\impostazioni locali\dati applicazioni\gwykwky.exe" gwykwky
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab

2 Provvedi a svuotare il contenuto della cartella Prefetch da Start - Tutti i programmi - Accessori - Esplora risorse il percorso è il seguente C:\WINDOWS\Prefetch mi raccomando devi eliminare SOLO il contenuto NON LA CARTELLA

3 Fai girare questo tool:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Doppio click su combofix.exe e segui le istruzioni
Allegare il log C:\combofix.txt
N.B.: Durante la scansione verranno creati alcuni file sul desktop e poi eliminati - spariranno tutte le icone del desktop - il firewall potrebbe avvisare che verranno rimossi alcuni driver (consentire)
ComboFix deve essere eseguito a macchina dedicata - disconnessi dalla rete, disabilitando momentaneamente i realtime dei software di sicurezza


Riepilogo log da allegare:
Combofix
Nuovo log HJT

Ciao

[scotch]

scusa l'ignoranza...cosa significa a macchina dedicata??

[wjmat]

Quote:

Originariamente inviato da scotch

scusa l'ignoranza...cosa significa a macchina dedicata??

che non devi fare altro, quindi chiudere tutti i programmi

[PEGGY_1_9_6_4]

Ciao, ti ringrazio infinitamente per l'aiuto, la disperazione mi ha spinto ieri sera ad ulteriori tentativi e in rete ho trovato un prg (Combofix) che miracolosamente ha risolto il problema trovando 4 virus nascosti in system32 e che il mio antvr non trovava.
Spero che possa essere in qualche modo utile a voi esperti il file log creato da combofix che allego.
Conosci Combofix? lo ritieni un prg valido?
Grazie ancora

[wjmat]

Quote:

Originariamente inviato da PEGGY_1_9_6_4

Ciao, ti ringrazio infinitamente per l'aiuto, la disperazione mi ha spinto ieri sera ad ulteriori tentativi e in rete ho trovato un prg (Combofix) che miracolosamente ha risolto il problema trovando 4 virus nascosti in system32 e che il mio antvr non trovava.
Spero che possa essere in qualche modo utile a voi esperti il file log creato da combofix che allego.
Conosci Combofix? lo ritieni un prg valido?
Grazie ancora

combofix è un ottimo tool ma va usato con attenzione
secondo me c'è dell'altro, segui qui la guida per la rimozione di Vundo e posta in quella discussione tutti i log richiesti, in un unico post, secondo le modalità .

[PEGGY_1_9_6_4]

Grazie per la consulenza, appena ho un po' di tempo vado nell'altra discussione.
Ciaoooooo

[k13dis]

Vi presento rapidamente il mio problema... ho continui e numerosi rallentamenti nel mio notebook (S.O. Windows XP Sp3). Fino a qualche tempo fa il notebook gestiva tranquillamente più processi "robusti" in esecuzione, mentre ultimamente si rallenta anche con poca roba. Ho un problema pure con l'audio che fa numerosi eco e pare rallentato, così come i file video e alcune applicazioni Java su siti internet. Non c'è un processo in particolare che rubi memoria ma tanti processi diversi e di dubbia utilità.
Ho fatto qualche scansione con antivirus e antispyware senza risolvere nulla.
Per ultimo, un antivirus di quelli usati mi ha rilevato un virus e pare essere andato in crash subito dopo in quanto mi ha visualizzato qualcosa tipo 9 miliardi di virus sul pc (ahahah).

[wjmat]

Quote:

Originariamente inviato da k13dis

Vi presento rapidamente il mio problema... ho continui e numerosi rallentamenti nel mio notebook (S.O. Windows XP Sp3). Fino a qualche tempo fa il notebook gestiva tranquillamente più processi "robusti" in esecuzione, mentre ultimamente si rallenta anche con poca roba. Ho un problema pure con l'audio che fa numerosi eco e pare rallentato, così come i file video e alcune applicazioni Java su siti internet. Non c'è un processo in particolare che rubi memoria ma tanti processi diversi e di dubbia utilità.
Ho fatto qualche scansione con antivirus e antispyware senza risolvere nulla.
Per ultimo, un antivirus di quelli usati mi ha rilevato un virus e pare essere andato in crash subito dopo in quanto mi ha visualizzato qualcosa tipo 9 miliardi di virus sul pc (ahahah).

ciao
dal log non si vede nulla di strano
se vuoi ripulire per bene il pc apri qui una discussione, spieghi brevemente il problema e poi segui la guida alla disinfezione per infetti ed esegui, in ordine, tutte le scansioni ed il caricamento dei relativi log, in un unico post, e secondo le modalità

[3ale]

fixato le 09 e le 018. le 023 sono gia in manuale nei servizi, eppure compaiono ancora nel log di hijack.

va bene così....

grazie wjmat

[wjmat]

Quote:

Originariamente inviato da 3ale

fixato le 09 e le 018. le 023 sono gia in manuale nei servizi, eppure compaiono ancora nel log di hijack.

va bene così....

grazie wjmat

si va bene così, meglio non esagerare con i fix

ciao

[scotch]

chillout completato la procedura ti allego i 2 log

http://wikisend.com/download/267150/hijackthis.log

grazie davvero...fammi sapere se si dv eliminare qlck altra cosa

[Alevalex]

Scusa wjmat potresti dirmi se è tutto ok dopo aver fixato....grazie

[wjmat]

Quote:

Originariamente inviato da Alevalex

Scusa wjmat potresti dirmi se è tutto ok dopo aver fixato....grazie

fixa

Codice:

R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programmi\Malwarebytes Anti-malware\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.srtest.com/srl_bin/sysreqlab_srl.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.7.109.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1225309887202

[wjmat]

Quote:

Originariamente inviato da scotch

chillout completato la procedura ti allego i 2 log

http://wikisend.com/download/267150/hijackthis.log

grazie davvero...fammi sapere se si dv eliminare qlck altra cosa

• Lancia HiJackThis
• Clicca Do a scan only
• Metti la spunta a fianco delle righe che ti segnalo qui sotto
• Clicca su Fix Checked
• Riavvia il pc
• Lancia HiJackThis
• Do a system scan and save a logfile
• Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_________________________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Codice:

O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_si te.cab?1230810937546
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_si te.cab?1230810923296

hai per caso usato Sophos Anti-Rootkit ?