HiJackThis - Analisi Log - leggere Regole di Sezione

[elj79]

Ciao a tutti,mi sono infettata due giorni fa entrando in una apparentemente innocua pagina di una guida
di Joomla: Avira Free mi ha segnalato il TR/PWS.Sinowal.Gen2 Trojan, io ho cliccato NEGA ACCESSO, ma lo
stesso qualche ora dopo il pc ha cominciato a dare i consueti sintomi di infezione: un sacco di processi
attivi, con conseguente rallentamento di tutto, ad es. eliminare un file dal desk, o aprire una pagina
di firefox.
Quando ricliccavo per "sveltire" il comando, mi si piantava tutto, schermo immobile e fischio monocorde
da qualche parte del pc...il riavvio era l'unica.
Gli AV e i vari spy sono però attivi, non c'è stata nessuna anomalia che blocca gli antivirus e cose del
genere, Internet funziona se non apro troppe pagine, altrimenti sotto alla pagina appare "interrotto",
per questo la mia speranza è di risolvere senza formattare e spero che mi possiate aiutare.
Ho già provato un sacco di cose,anche con ripristino disattivato e in modalità ridotta:
Avira mi ha trovato il file TR/PWS.Sinowal.Gen2 Trojan in c:\Documents and settings\Help Assistent\
Impostazioni locali\temp\CNLHGV.DLL, e li ha RISOLTI cancellandoli e mettendo in quarantena.
Ho svuotato temp e Internet Explorer temporary files, avviato Spy&Destroy, Malwarebytes'Anty Malware,
Ad-ware,Ccleaner,una scansione online con Panda, e anche il live cd di boot Avira.Nulla.
Cosa posso fare ancora?
Ho visto che in modalità normale ci sono 48 processi attivi con utilizzo CPU del 22% senza che io stia
ancora facendo nulla!
Ho provato HijackThis e alcuni processi non so affatto cosa siano, ma non mi fido a cancellarli senza
avere certezza, dopo la formattazione non me la leva nessuno!
Posso allegarlo qui senza violare il regolamento?
Sapreste darmi una dritta su come continuare le mie scansioni e indagini?
Ringrazio chiunque voglia aiutarmi, Elisa

[xcdegasp]

Quote:

Originariamente inviato da elj79

Ciao a tutti,mi sono infettata due giorni fa entrando in una apparentemente innocua pagina di una guida
di Joomla: Avira Free mi ha segnalato il TR/PWS.Sinowal.Gen2 Trojan, io ho cliccato NEGA ACCESSO, ma lo
stesso qualche ora dopo il pc ha cominciato a dare i consueti sintomi di infezione: un sacco di processi
attivi, con conseguente rallentamento di tutto, ad es. eliminare un file dal desk, o aprire una pagina
di firefox.
Quando ricliccavo per "sveltire" il comando, mi si piantava tutto, schermo immobile e fischio monocorde
da qualche parte del pc...il riavvio era l'unica.
Gli AV e i vari spy sono però attivi, non c'è stata nessuna anomalia che blocca gli antivirus e cose del
genere, Internet funziona se non apro troppe pagine, altrimenti sotto alla pagina appare "interrotto",
per questo la mia speranza è di risolvere senza formattare e spero che mi possiate aiutare.
Ho già provato un sacco di cose,anche con ripristino disattivato e in modalità ridotta:
Avira mi ha trovato il file TR/PWS.Sinowal.Gen2 Trojan in c:\Documents and settings\Help Assistent\
Impostazioni locali\temp\CNLHGV.DLL, e li ha RISOLTI cancellandoli e mettendo in quarantena.
Ho svuotato temp e Internet Explorer temporary files, avviato Spy&Destroy, Malwarebytes'Anty Malware,
Ad-ware,Ccleaner,una scansione online con Panda, e anche il live cd di boot Avira.Nulla.
Cosa posso fare ancora?
Ho visto che in modalità normale ci sono 48 processi attivi con utilizzo CPU del 22% senza che io stia
ancora facendo nulla!
Ho provato HijackThis e alcuni processi non so affatto cosa siano, ma non mi fido a cancellarli senza
avere certezza, dopo la formattazione non me la leva nessuno!
Posso allegarlo qui senza violare il regolamento?
Sapreste darmi una dritta su come continuare le mie scansioni e indagini?
Ringrazio chiunque voglia aiutarmi, Elisa

devi scaricare una verisone più recente di hijhackthis e rifare il log, in prima pagina hai link alla versione aggiornata

[elj79]

Quote:

Originariamente inviato da xcdegasp

devi scaricare una verisone più recente di hijhackthis e rifare il log, in prima pagina hai link alla versione aggiornata

Grazie Riecco il nuovo File hijhackthis...spero che qualcuno mi aiuti, sono frustratissima!

[Jestat]

Quote:

Originariamente inviato da Jestat

salveee una controllatina a questo notebook che era piuttosto infetto...posto anche gmer nel 3d apposito grassssie

http://wikisend.com/download/589306/hijackthis.log

scusate....nessuno può darmi un parere? grazie

[neversaynever]

Buona giornata.
Sono preoccupato perchè da ieri (prima non è mai successo) ad ogni accensione di PC (win xp sp3) si accumulano file "Perflib__Perfdataxxx.dat" nelle directories:
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp
C:\Windows\Temp

Alcuni non possono essere cancellati perchè in uso da qualche processo che non ho individuato.
Inoltre nella prima delle due directories si accumulano ad ogni accensione anche alcuni file "TMP" col nome MAR (MARxx.tmp), di cui vi allego un esempio.

[Version]
;<FileName>=<Version> ; Version of the given merged file name with this one
ThisFile=1 ; Version number of this file

[Options]
DeleteAfterMerge=1 ; Whether this file should be deleted after merging with the base file

; Normally an upgrade will only add those sections that are not in
; the previous version of this file. However you can force certain
; sections to be replaced by listing them here.
[Upgrade Section Overrides]
;0=HP Officejet 7300 series ; note: commented out, for illustration purposes only

; This is how individual fields in any section can be overridden
; Currently the only field that this should be done to is the Version
; field under the root (i.e., [.MarsTAPI]) so that the 'official' file
; always has the latest version marked
[Upgrade Field Overrides]
;<Index>=<Section>,<Keyword>,<Data>
1=Version,ThisFile,1 ; MUST TRACK [Version]:ThisFile=

[.MarsTAPI]
MergeFiles=*.mif ; Search Pattern for Merge files
DebugFlags=0x00000000
InitialDelay=0 ; Number of seconds to delay initialization
PollInterval=120 ; Number of sec between TA polling of PlugIn
InitsPerPoll=-1 ; Number of PlugIns to initialize at each Poll tick (-1 -> all)
DebugFileName= ; Filename for Debug Output
ResetDebugFile=1 ; 1 => delete file at startup

Antivirus (NOD32) e Antispyware (Spybot S&D) non segnalano nulla e il PC sembra funzionare regolarmente.

Ho fatto una scansione con hijackthis e allego il log per poter avere un aiuto nell'interpretazione.

Non riesco a capire cosa abbia causato questo nuovo fenomeno.

Qualcuno può aiutarmi?

Grazie anticipatamente

[wjmat]

Quote:

Originariamente inviato da Jestat

scusate....nessuno può darmi un parere? grazie

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18882)

Codice:

O2 - BHO: TBSB02209 - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - (no file)
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Boonty Games - Unknown owner - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: FreezeScreenSaver - Unknown owner - C:\Windows\system32\FreezeScreenSaver.exe

non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

[Jestat]

grazie mille wj.....le infezioni le ho debellate tutte vero?

[wjmat]

Quote:

Originariamente inviato da Jestat

grazie mille wj.....le infezioni le ho debellate tutte vero?

dal log di hjt non vedo altro ma non è detto che il pc sia pulito

[wjmat]

Quote:

Originariamente inviato da neversaynever

Buona giornata.
Sono preoccupato perchè da ieri (prima non è mai successo) ad ogni accensione di PC (win xp sp3) si accumulano file "Perflib__Perfdataxxx.dat" nelle directories:
C:\Documents and Settings\Proprietario\Impostazioni locali\Temp
C:\Windows\Temp

Alcuni non possono essere cancellati perchè in uso da qualche processo che non ho individuato.
Inoltre nella prima delle due directories si accumulano ad ogni accensione anche alcuni file "TMP" col nome MAR (MARxx.tmp), di cui vi allego un esempio.

[Version]
;<FileName>=<Version> ; Version of the given merged file name with this one
ThisFile=1 ; Version number of this file

[Options]
DeleteAfterMerge=1 ; Whether this file should be deleted after merging with the base file

; Normally an upgrade will only add those sections that are not in
; the previous version of this file. However you can force certain
; sections to be replaced by listing them here.
[Upgrade Section Overrides]
;0=HP Officejet 7300 series ; note: commented out, for illustration purposes only

; This is how individual fields in any section can be overridden
; Currently the only field that this should be done to is the Version
; field under the root (i.e., [.MarsTAPI]) so that the 'official' file
; always has the latest version marked
[Upgrade Field Overrides]
;<Index>=<Section>,<Keyword>,<Data>
1=Version,ThisFile,1 ; MUST TRACK [Version]:ThisFile=

[.MarsTAPI]
MergeFiles=*.mif ; Search Pattern for Merge files
DebugFlags=0x00000000
InitialDelay=0 ; Number of seconds to delay initialization
PollInterval=120 ; Number of sec between TA polling of PlugIn
InitsPerPoll=-1 ; Number of PlugIns to initialize at each Poll tick (-1 -> all)
DebugFileName= ; Filename for Debug Output
ResetDebugFile=1 ; 1 => delete file at startup

Antivirus (NOD32) e Antispyware (Spybot S&D) non segnalano nulla e il PC sembra funzionare regolarmente.

Ho fatto una scansione con hijackthis e allego il log per poter avere un aiuto nell'interpretazione.

Non riesco a capire cosa abbia causato questo nuovo fenomeno.

Qualcuno può aiutarmi?

Grazie anticipatamente

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_______________________________________________________________________________
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1194876402907
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muwe b_site.cab?1194883171359

non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

[neversaynever]

Quote:

Originariamente inviato da wjmat

Ciao

Lancia HiJackThis -> Clicca Do a scan only -> Metti la spunta a fianco delle righe che ti segnalo qui sotto -> Clicca su Fix Checked
Riavvia il pc -> Lancia HiJackThis -> Do a system scan and save a logfile
Controlla che tutte le voci fixate siano sparite altrimenti carica il nuovo log rinominato in .txt con la funzione Gestisci allegati che trovi nelle Opzioni aggiuntive o cliccando sull'icona del fermaglio ()

_
Tutte le eventuali voci O4 fixate non cancellano i programmi ma semplicemente evitano che questi partano in automatico inutilmente, rallentando l'avvio del sistema.
Di default segnalo sempre i programmi di messaggistica, ma se li ritieni strettamente necessari non fixarli.
Se hai installato toolbar varie (google, yahoo, ask ecc.) e non le usi disinstallale pure nel modo classico.
Le eventuali voci O16 dovranno essere fixate con IE chiuso.
Eventuali voci che ti segnalo, che invece hai impostato tu o che comunque conosci e provengono da fonti sicure, lasciale se le ritieni veramente importanti.
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Logfile of Trend Micro HijackThis v2.0.2
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Codice:

O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Programmi\File comuni\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_ site.cab?1194876402907
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muwe b_site.cab?1194883171359

non si vede o è disattivato un buon firewall (non quello di windows ovviamente)
per tenere aggiornati i programmi installati tra cui quelli più vulnerabili e per consigli vari leggi qui

Da parte di neversaynever, grazie mille wjmat!

[wjmat]

Quote:

Originariamente inviato da neversaynever

Da parte di neversaynever, grazie mille wjmat!

di nulla
ciao

[twocats]

Ho un grave problema qui (user:twocats)
http://www.hwupgrade.it/forum/showth...15546&page=129
vorrei postare qui il log se possibile di hijackthis
http://wikisend.com/download/150000/hijackthis.log.log
Attualmente il pc si è sveltito moltissimo dopo l'eliminazione di HelpAssistant dagli User, ma paradossalmente mi ha bloccato tutti gli AV e le scansioni online, firewall e disatti/attiv ripristino di sistema!
Ringrazio chi mi potrà dare una mano, sono diperata.

[wjmat]

Quote:

Originariamente inviato da twocats

Ho un grave problema qui (user:twocats)
http://www.hwupgrade.it/forum/showth...15546&page=129
vorrei postare qui il log se possibile di hijackthis
http://wikisend.com/download/150000/hijackthis.log.log
Attualmente il pc si è sveltito moltissimo dopo l'eliminazione di HelpAssistant dagli User, ma paradossalmente mi ha bloccato tutti gli AV e le scansioni online, firewall e disatti/attiv ripristino di sistema!
Ringrazio chi mi potrà dare una mano, sono diperata.

finiamo nel 3d di mbr rootkit poi vediamo il resto

[Ste868686]

scusate notate qualcosa che no va?

[Chill-Out]

Quote:

Originariamente inviato da Ste868686

scusate notate qualcosa che no va?

Ciao, dal log non emerge nulla.

[Ste868686]

Quote:

Originariamente inviato da Chill-Out

Ciao, dal log non emerge nulla.

ok, ma oltre a non trovare virus c'è qualche programma inutile che mi si accende e leva ram?

[xcdegasp]

Quote:

Originariamente inviato da Ste868686

ok, ma oltre a non trovare virus c'è qualche programma inutile che mi si accende e leva ram?

puoi fixare queste due voci:

Codice:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmi\File comuni\Adobe\ARM\1.0\AdobeARM.exe"

o sostituire acrobat reader con il più leggero foxit reader

[Ste868686]

grazie

[AnnySa]

Salve a tutti, ho un problema con windows che si riavvia..
prima non fa il boot, poi si blocca lo scandisk, poi non riconosce l'hard disk ma a tratti si accende. E' completamente impazzito.
Ho fatto il log, qualcuno può aiutarmi???

[xcdegasp]

Quote:

Originariamente inviato da AnnySa

Salve a tutti, ho un problema con windows che si riavvia..
prima non fa il boot, poi si blocca lo scandisk, poi non riconosce l'hard disk ma a tratti si accende. E' completamente impazzito.
Ho fatto il log, qualcuno può aiutarmi???

riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - Startup: MySurvey Messenger.lnk = ?
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - (no file)
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe (file missing)

questa voce

Codice:

O23 - Service: Avira Upgrade Service (AntiVirUpgradeService) - Unknown owner - C:\DOCUME~1\Anny\LOCALS~1\Temp\AVSETUP_4babd622\basic\avupgsvc.exe (file missing)

mi lascia pensare che per un qualche motivo l'aggiornamento automatico di Avira antivir 9 @ Avira antivir 10 non sia stato completato correttamente, quindi potresti scaricare nuovamente l'antivirus dalsito avira, rimuovere quello che adesso possiedi e installare il nuovo.