HiJackThis - Analisi Log - leggere Regole di Sezione

[xcdegasp]

Quote:

Originariamente inviato da jv_guano

ahiahiahi...
io ho fatto tutto ieri pomeriggio seguendo le indicazioni di wjmat e comunque sembra tutto risolto!

ho iniziato togliendo un po' di robe inutili, tipo il Norton che era scaduto da novembre 2006...già è poco utile quando è attivo, quando è scaduto pesa e basta..

questo il log di ComboFix

ComboFix.txt

e questo quello di hijack this dopo la pulizia..

hijackthis_DOPO CLEAN.txt

combofix aveva dato già una bella pulita...

poi aveva un altro paio di errori all'avvio relativi a reminder.exe e a qualche programma di Acer, WPreg_popup mi pare e quindi mi son passato le chiavi nel registro nelle varie cartelle Run, RunOnce etcetc e ho eliminato le altre cose sospette..

dopodichè ho installato avast, l'ho aggiornato, fatto il riavvio del sistema con controllo virus e mi ha trovato 4 virus che ho eliminato, associati a quelle due chiavi di cui sopra, un giochino e un keygen..

ora sembrerebbe bello pulito...
devo dire che nel momento in cui era senza norton e pulito con Combofix era velocino, quando ci ho rimesso avast è rallentato nuovamente, anche se non come prima, ma tant'è...
da un portatile, per quanto valido dal punto di vista hw, che ha almeno 3 anni di vita utilizzato da utonti, non ci si può aspettare molto!

grazie a tutti per le dritte e i suggerimenti!
infine

vai al seguente link http://secunia.com/vulnerability_scanning/online/ e fai scansionare il tuo pc online alla ricerca di software obsoleti, in questa maniera avrai in pochi e semplici clik la lista dei software altamente critici da aggiornare subito.
Premi "start scanner" poi nella nuova finestra metti il segno di spunta all'unica casella vuota e premi "start", entro pochi minuti comparirà il risultato

adobe reader puoi sostituirlo con FoxitReader

[xcdegasp]

Quote:

Originariamente inviato da paolo-fcb

ciao regà come state? ogni tanto passo di qui.......il pc sembra lento all'avvio ma è una lentezza strana, se spengo e lascio l'interruttore acceso cioè quello della ciabatta poi parte normale, se spengo tutto tutto si riavvia male e a volte devo resettare anche 3 volte perchè a video non vedo nulla e il monitor non fa il solito schiocco di quando è ok.......

ecco il log, grazie in anticipo, paolo
http://www.fileqube.com/file/xRszUebEN180960

c'è un segno di infezione..
fixa:

Codice:

O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

strano che siano sfuggite queste due chiavi di registro ad avira...
fammi una scansione completa con avira, con malwarebytes e a-squared-free, i log postali in un nuovo thread che apri per l'occasione

[bozzato]

we....
ho scansionato il mio NUOVO! pc con hijackthis, perchè una volta su quatrro (circa) appena si apre il desktop si inchioda tutto....si muove solo la freccetta del mouse, ma neanche l'ora nn si muove

ecco il log.....ho premuto do a scanly only and a save log file...o una robaccia del genere...quello che non ha trovato non ho fixxato..prima sento il vostro parere...

http://wikisend.com/download/596628/hijackthis.log

[gabrib]

Qualcuno potrebbe controllare il log di hijackthis??
Grazie per l'attenzione.
http://wikisend.com/download/470160/Hijackthis.txt

[Chill-Out]

Quote:

Originariamente inviato da gabrib

Qualcuno potrebbe controllare il log di hijackthis??
Grazie per l'attenzione.
http://wikisend.com/download/470160/Hijackthis.txt

Lo devi allegare anche qui http://www.hwupgrade.it/forum/showth...4#post26727804 non vedo il motivo per cui allegarlo due volte

[bozzato]

potresti controllare anke il mio quando hai tempo?

http://wikisend.com/download/596628/hijackthis.log

(vedi mio post precedente)

[xcdegasp]

Quote:

Originariamente inviato da bozzato

potresti controllare anke il mio quando hai tempo?

http://wikisend.com/download/596628/hijackthis.log

(vedi mio post precedente)

potresti fixare:

Quote:

O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background

ti fa risparmiare un po' di ram e cpu sprecate all'avvio, per ilr esto è tutto pulito

[Kohai]

Quote:

Originariamente inviato da xcdegasp

adobe reader puoi sostituirlo con FoxitReader

Ciao mod, scusami se mi permetto ma sicuramente ne sarai gia' informato. Comunque nell'eventualita' non lo sapessi e stai usando foxit reader ti allego questo indirizzo di cui si parla di una falla di sicurezza.
http://www.megalab.it/4310/problemi-...r-foxit-reader

Un salutone, spero l'articolo ti sia utile, ciao!


P.s. scusa l'ot.

[kikko21]

Ho rifatto la scansione con la nuova versione, questo è il log...

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:11:57, on 17/03/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
C:\Programmi\Java\jre6\bin\jqs.exe
C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programmi\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programmi\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programmi\Logitech\SetPoint\SetPoint.exe
C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programmi\File comuni\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\Programmi\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\WINDOWS\explorer.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programmi\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programmi\Norton Internet Security\Engine\16.2.0.7\IPSBHO.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programmi\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmi\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmi\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmi\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programmi\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Programmi\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programmi\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: &BOM hinzufügen - C:\\PROGRA~1\\BID-O-~1\\\\AddToBOM.hta
O8 - Extra context menu item: Aggiungi all'elenco di stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Anteprima Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Stampa ad alta velocità Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Stampa Easy-WebPrint - res://C:\Programmi\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1227973768771
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programmi\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Programmi\Norton Internet Security\Engine\16.2.0.7\coIEPlg.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Norton2009 Reset (.norton2009Reset) - Unknown owner - C:\Programmi\Norton2009Reset.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmi\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programmi\File comuni\logishrd\Bluetooth\LBTServ.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programmi\file comuni\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programmi\File comuni\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programmi\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Nero\Lib\NMIndexingService.exe
O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programmi\Norton Internet Security\Engine\16.2.0.7\ccSvcHst.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programmi\File comuni\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9997 bytes

[gabrib]

Quote:

Originariamente inviato da Chill-Out

Lo devi allegare anche qui http://www.hwupgrade.it/forum/showth...4#post26727804 non vedo il motivo per cui allegarlo due volte

Scusa, fatto

[paolo-fcb]

Quote:

Originariamente inviato da xcdegasp

c'è un segno di infezione..
fixa:

Codice:

O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\msnmsgr.exe" /background
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

strano che siano sfuggite queste due chiavi di registro ad avira...
fammi una scansione completa con avira, con malwarebytes e a-squared-free, i log postali in un nuovo thread che apri per l'occasione

grazie daniè, è che deve essere entrato qlcosa di strano nel pc infatti avira mi dava troppo spesso segnalazioni, a volte lo disattivo ma solo quando gioco a videogames e spesso mi scollego dalla rete ma a volte mi capita di lasciare la connessione aperta, ora faccio la procedura che mi hai scritto, grazie, ciaoooooooo

[kikko21]

C'è qualcuno k mi aiuta?

[Chill-Out]

Quote:

Originariamente inviato da kikko21

C'è qualcuno k mi aiuta?

Esegui HJT clicca su Do a system scan only e metti il segna di spunta nella casella bianca a sx della sottoindicata voce e clicca su fix cheked

Quote:

O23 - Service: Norton2009 Reset (.norton2009Reset) - Unknown owner - C:\Programmi\Norton2009Reset.exe

Da Start - Esegui - digita CMD

nella finestra DOS digita

sc stop .norton2009Reset e batti invio
sc delete .norton2009Reset e batti invio

digita exit per uscire

[kikko21]

Fatto: ora dici ke iexplore.exe non raggiungerà + valori di utilizzo CPU così alti da rallentare tutto?
oppure devo fare qlk altra cosa?

[Chill-Out]

Quote:

Originariamente inviato da kikko21

Fatto: ora dici ke iexplore.exe non raggiungerà + valori di utilizzo CPU così alti da rallentare tutto?
oppure devo fare qlk altra cosa?

Dal log non emerge altro, non resta che monitorare la situazione.

[paolo-fcb]

Quote:

Originariamente inviato da paolo-fcb

grazie daniè, è che deve essere entrato qlcosa di strano nel pc infatti avira mi dava troppo spesso segnalazioni, a volte lo disattivo ma solo quando gioco a videogames e spesso mi scollego dalla rete ma a volte mi capita di lasciare la connessione aperta, ora faccio la procedura che mi hai scritto, grazie, ciaoooooooo

edit-da avira non è uscito nulla, da a-squared nemmeno, da malwarebytes solo 2 cose, devo cmq aprire il thread?
ah, i 2 elementi che emergono da malwarebytes li ho eliminati.......

[paolo-fcb]

questo il nuovo log di hjt

http://www.fileqube.com/file/ekriUeugW181394

[xcdegasp]

Quote:

Originariamente inviato da Kohai

Ciao mod, scusami se mi permetto ma sicuramente ne sarai gia' informato. Comunque nell'eventualita' non lo sapessi e stai usando foxit reader ti allego questo indirizzo di cui si parla di una falla di sicurezza.
http://www.megalab.it/4310/problemi-...r-foxit-reader

Un salutone, spero l'articolo ti sia utile, ciao!


P.s. scusa l'ot.

sì avevo visto qualche giorno fa direttamente su secunia.com
http://secunia.com/advisories/34036/

[xcdegasp]

Quote:

Originariamente inviato da paolo-fcb

edit-da avira non è uscito nulla, da a-squared nemmeno, da malwarebytes solo 2 cose, devo cmq aprire il thread?
ah, i 2 elementi che emergono da malwarebytes li ho eliminati.......

hai tracce di vundo quindi segui la guida http://www.hwupgrade.it/forum/showthread.php?t=1933875

[paolo-fcb]

Quote:

Originariamente inviato da xcdegasp

hai tracce di vundo quindi segui la guida http://www.hwupgrade.it/forum/showthread.php?t=1933875

ok grazie daniè

poi posto tutto, cmq per ora nulla di sospetto, boh.........

edit-dany io ho fatto quasi tutto e non mi ha trovato nulla, sto scansionando con kaspersky ed è al 2% ma credo nn troverò nulla, cmq posterò di nuovo il log, ciao