HiJackThis - Analisi Log - leggere Regole di Sezione

[losisat]

grazie x la risposta..cosa vuol dire fixare prima che faccio casini?devo scaricare gli allegati che mi hai messo?
grazie

[losisat]

ho fixato tutto e rifatto hack... allego il log è pulito???

hijackthislog.txt

grazie

[wjmat]

Quote:

Originariamente inviato da losisat

ho fixato tutto e rifatto hack... allego il log è pulito???

Allegato 74673

grazie

davo per scontato che sapessi usare hjt visto che postato il log....

le voci O16 vanno fixate come le altre non devi scaricare nulla

[losisat]

ma le ho fixate come dici tu...ho scaricato l'allegato e ho scompattato i file alcuni hanno l'exe altri dll o ocx...cosa devo fare? grazie

[wjmat]

Quote:

Originariamente inviato da losisat

ma le ho fixate come dici tu...ho scaricato l'allegato e ho scompattato i file alcuni hanno l'exe altri dll o ocx...cosa devo fare? grazie

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O16 - DPF: {25336921-03F9-11CF-8FD0-00AA00686F13} (Microsoft HTML Document 6.0) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {588031A3-94BF-4CDD-86D0-939F6F93910F} (FixItClient Class) - https://fixit.support.microsoft.com/ActiveX/FixItClient.CAB
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.printixia.it/ImageUploader5.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scanner/sources/en/scan8/oscan8.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab

non si vede o è disattivato il firewall
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

rimuovi pure la ask toolbar e cancella quella roba che hai scaricato

[losisat]

allora ho fatto tutto quello che hai detto e mi sembra ok ti allego il log
hijackthislog.txt
il firewall è attivato....
cosa è la "ask toolbar"?
quindi tutto ok vero?
grazie

[wjmat]

Quote:

Originariamente inviato da losisat

allora ho fatto tutto quello che hai detto e mi sembra ok ti allego il log
Allegato 74675
il firewall è attivato....
cosa è la "ask toolbar"?
quindi tutto ok vero?
grazie

se è il firewall di win, non è sufficiente, vedi link soptra per info a riguardo
la ask toolbar la rimuovi da installazione applicazioni perchè è un'inutile toolbar installata senza volerlo insieme a qualche altro programma

[Helyanwe]

Quote:

Originariamente inviato da Helyanwe

salve il mio pc è stato infettato dal worm bagle, dopo un po' di difficoltà l'ho tolto, almeno credo visto che ora l'antivirus si avvia (mentre prima no). potreste controllare il log di Hijackthis, magari c'è qualcosa che non va.

up

[wjmat]

Quote:

Originariamente inviato da M3thos

Salve ragazzi ho letto le regole sul un nuovo thread ma se il file di Hijack è pulito è inutile aprirlo.


Volevo dire che ho lettucchiato anche come analizzare il file da me stesso così mi sono dilettato sulle prime 3 righe riguardati le homepage di microsoft explorer, facebook l'ho messo io siccome avevo problemi con mozilla e usavo explorer solo per questo ma le altre R1 ed R0 non le conosco ma non le ho fixate perchè visto che c'era microsoft nel dominio ma non sono molto sicuro dato che l'indirizzo sembra sospetto...

Vi prego di guardare anche il resto

Grazie per la disponibilità

ciao

mi sembra tutto ok

[losisat]

Quote:

Originariamente inviato da wjmat

se è il firewall di win, non è sufficiente, vedi link soptra per info a riguardo
la ask toolbar la rimuovi da installazione applicazioni perchè è un'inutile toolbar installata senza volerlo insieme a qualche altro programma

si è quello di win....asktoolbar rimossa...
ora installo un nuovo firewall(quale mi consigli..il + semplice)devo disabilitare quello di win?
grazie

[M3thos]

Quote:

Originariamente inviato da wjmat

ciao

mi sembra tutto ok

Grazie per la tua disponibilità! Meno male che ci sono utenti che lo fanno...

[wjmat]

Quote:

Originariamente inviato da losisat

si è quello di win....asktoolbar rimossa...
ora installo un nuovo firewall(quale mi consigli..il + semplice)devo disabilitare quello di win?
grazie

devi chiedere in Protezione del Computer: consigli e valutazioni
per me comunque online armor

[wjmat]

Quote:

Originariamente inviato da M3thos

Grazie per la tua disponibilità! Meno male che ci sono utenti che lo fanno...

di nulla
ciao

[xcdegasp]

Quote:

Originariamente inviato da Helyanwe

up

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce


potresti avere il pc infetto o norton ha individuato un'infezione qualche giorno fa'..

[Helyanwe]

Quote:

Originariamente inviato da xcdegasp

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
Fixa:

Codice:

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce


potresti avere il pc infetto o norton ha individuato un'infezione qualche giorno fa'..

si infatti avevo il pc infettato dal "worm bagle" però credo di averlo tolto, almeno i problemi relativi all'avvio di norton stesso causati dal virus, non ci sono più. Adesso norton si avvia... cmq ho fatto la scansione ed aggiornato i programmi (solo Macromedia Flash Player in realtà), veramente utile sto sito ... grazie per l'aiuto )

[khael]

Quote:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0.02.52, on 05/02/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20583)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WeGame\wegame.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\a-squared Anti-Malware\a2service.exe
C:\Program Files\a-squared Anti-Malware\a2wizard.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess.exe
C:\WINDOWS\system32\ZoneLabs\avsys\Monitor.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Security Task Manager\TaskMan.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Program Files\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\RunOnce: [srePostpone] rundll32.exe c:\windows\system32\zonelabs\srescan.dll,DoSpecialAction
O4 - HKCU\..\Run: [MultiError] C:\DOCUME~1\Davidee\APPLIC~1\PLANFI~1\Data Bird Drive.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O15 - Trusted Zone: http://*.buy-internet-security10.com
O15 - Trusted Zone: http://*.buy-internetsecurity10.com
O15 - Trusted Zone: http://*.is-soft-download.com
O15 - Trusted Zone: http://*.is-software-download.com
O15 - Trusted Zone: http://*.is-software-download25.com
O15 - Trusted Zone: http://*.buy-internet-security10.com (HKLM)
O15 - Trusted Zone: http://*.buy-internetsecurity10.com (HKLM)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Program Files\a-squared Anti-Malware\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4626 bytes

i need help

c'è qualche cosa che comincia ad uploadare, e si blocca la connessione.

Ora sto installando il sp3

[Gle89]

Quote:

Originariamente inviato da khael

i need help

c'è qualche cosa che comincia ad uploadare, e si blocca la connessione.

Ora sto installando il sp3

Sei infetto quindi apri un thread nella sezione Aiuto sono infetto! Cosa faccio? e segui la semplice Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potrai ricevere aiuto

Naturalmente prima finisci di aggiornare XP e Internet Explorer...

Mi raccomando, segui le regole di sezione per il caricamento dei vari log perchè come hai caricato quello di HJT non è conforme!

[khael]

Quote:

Originariamente inviato da Gle89

Sei infetto quindi apri un thread nella sezione Aiuto sono infetto! Cosa faccio? e segui la semplice Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potrai ricevere aiuto

Naturalmente prima finisci di aggiornare XP e Internet Explorer...

Mi raccomando, segui le regole di sezione per il caricamento dei vari log perchè come hai caricato quello di HJT non è conforme!

ok scusami provvedo

[Novas14]

Vi sembra tutto ok?

[Gle89]

Quote:

Originariamente inviato da Novas14

Vi sembra tutto ok?

Il log risulta pulito, ma devi assolutamente aggionrare il tuo windows al service Pack 3 e successivi aggiornamenti e Internet Explorer alla versione 8.

Come ti avevo già scritto nel tuo thread http://www.hwupgrade.it/forum/showthread.php?t=2136936:

Quote:

Ti ricordo che HJT non rileva tutte le infezioni e da' informazioni sul sistema solo parzialmente.

Quindi sei vuoi escludere un problema dovuto ai virus & co, segui le istruzioni che ti ho dato nel tua discussione.