HiJackThis - Analisi Log - leggere Regole di Sezione

[xcdegasp]

Quote:

Originariamente inviato da Druido74

Ciao, ecco il nuovo log:
http://wikisend.com/download/199292/hijackthis.log

eccolì la bella infezione..

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti
poi apriti un thread (se non ce ne è già uno analogo) e pubblica tutti i log/report lì

[xcdegasp]

Quote:

Originariamente inviato da n.forciniti

Ho seguito il tuo consiglio, ed ho eseguito di tutto (avira, kaspersky, spybot, ecc, ecc.).
Per verificare se sono pulito cosa debbo fare? Lancio nuovamente hijackthis e posto il log?

Grazie.

scusa ma perchè stai seguendo le procedure di pulizia malware dalla chiavetta usb e pubblichi qui il log di hijackthis?
ovviamente rispondimi di là, grazie

[ConteOliverTNT]

Quote:

Originariamente inviato da xcdegasp

fixa:

Codice:

O4 - HKCU\..\Run: [Ad Muncher] "C:\Programmi\Ad Muncher\AdMunch.exe" /bt
O4 - HKCU\..\RunOnce: [Index Washer] C:\Programmi\Washer\WashIdx.exe "Satana"

queste due le danno come pericolose se non sai di cosa si tratta (io non ho nessun idea) segui la guida per disinfettare da fallsi antivirus: http://www.hwupgrade.it/forum/showthread.php?t=1789446

il resto non lo toccherei perchè

Codice:

O4 - HKCU\..\Run: [XP Visual Tools] C:\Programmi\XP Visual Tools\XP_Visual.exe -s

è la personalizzazione di windows (aspetto desktop e finestre) mentre la O17 è dei dns

Grazie a tutti Ora mi sento tranquillo


Ad Muncher e Window Washer sono legittimi (filtro per la pubblicità e cancellazione dei file temporanei).

[Stefano9872]

Ciao a tutti. Ho la sensazione di avere la macchina parecchio infetta (è iniziato con finestre web che si aprivano da sole, fino ai vari piccoli/grandi problemi di funzionamento che ora sto patendo). Ho letto la guida alla disinfezione, disabilitato ripristino, cambiato i DNS e ho fatto la scansione con Malwarebytes.
Cmq ho pensato di dover partire da qui postando il log di HJT.
per la cronaca questo è il mio set up: win XP pro sp3, office 2003 sp3, Avira antivir free, zone alarm, browser firefox.
Spero nel vostro aiuto.

[Eress]

Quote:

Originariamente inviato da Stefano9872

Ciao a tutti. Ho la sensazione di avere la macchina parecchio infetta (è iniziato con finestre web che si aprivano da sole, fino ai vari piccoli/grandi problemi di funzionamento che ora sto patendo)

Dal log appare solo questa voce sospetta:

O4 - Startup: jxtupd32.exe

Comunque se stai seguendo la guida alla rimozione ti conviene postare di là

[Chill-Out]

Quote:

Originariamente inviato da Stefano9872

Ciao a tutti. Ho la sensazione di avere la macchina parecchio infetta (è iniziato con finestre web che si aprivano da sole, fino ai vari piccoli/grandi problemi di funzionamento che ora sto patendo). Ho letto la guida alla disinfezione, disabilitato ripristino, cambiato i DNS e ho fatto la scansione con Malwarebytes.
Cmq ho pensato di dover partire da qui postando il log di HJT.
per la cronaca questo è il mio set up: win XP pro sp3, office 2003 sp3, Avira antivir free, zone alarm, browser firefox.
Spero nel vostro aiuto.

Quote:

Originariamente inviato da Eress

Dal log appare solo questa voce sospetta:

O4 - Startup: jxtupd32.exe

Comunque se stai seguendo la guida alla rimozione ti conviene postare di là

Esattamente, se stai seguendo la Guida alla disinfezione, pubblica tutti i log qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125 nel rispetto delle Regole di sezione

[Alevalex]

Quote:

Originariamente inviato da xcdegasp

da HiJjackkThis fixa:

Codice:

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] "C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKLM\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKLM\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Nero\Lib\NMBgMonitor.exe"

sono tutti programmi che non necessitano dell'autoesecuzione per funzionare correttamente così liberi risorse preziose

Grazie xcdegasp.
HijackThis - v2.0.4 però Non mi fà fixare le voci che mi hai consigliata...
Cosa posso fare??

[Alevalex]

E precisamente sono queste le voci che non mi fixa..
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"

[xcdegasp]

Quote:

Originariamente inviato da Alevalex

E precisamente sono queste le voci che non mi fixa..
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe"

allora devi agire da msconfig (start, poi scrivi msconfig e batti invio) andando nella scheda "avvio" ee togliendo il segno di spunta a queste 4 voci, ovviamente avrai visibilità solo del nome degli eseguibili, poi salvi e riavvii

[Stefano9872]

Quote:

Originariamente inviato da Chill-Out

Esattamente, se stai seguendo la Guida alla disinfezione, pubblica tutti i log qui http://www.hwupgrade.it/forum/forumdisplay.php?f=125 nel rispetto delle Regole di sezione

ok, grazie CHil & Eress. Apro un 3d di là.

[Alevalex]

Quote:

Originariamente inviato da xcdegasp

allora devi agire da msconfig (start, poi scrivi msconfig e batti invio) andando nella scheda "avvio" ee togliendo il segno di spunta a queste 4 voci, ovviamente avrai visibilità solo del nome degli eseguibili, poi salvi e riavvii

Molto bene....
Grazie mille come sempre xcdegasp..

[paolo-fcb]

Daniè ho comprato prevx con licenza, quindi la possibilità di prendere virus è molto bassa giusto? Ora vediamo quanto riesco ad andare avanti, ancora un pò poi si torna da Prokoo.....

Allego così per controllare ultimo log (il problema è che quelle voci, le ultime due, di tune-up, le ho già fixate ma ricompaiono ):

http://www.mediafire.com/file/tzoyyl...hijackthis.log

[Samu78]

Ragazzi ho notato che da qualche giorno dopo aver inserito la password all'accensione del pc, prima di arrivare al completamento del desktop mi ci vuole un pò, prima era veloce, ho controllato i prg all'avvio ma mi sembra tutto ok, mi controllate il log grazie mille.

[xcdegasp]

Quote:

Originariamente inviato da paolo-fcb

Daniè ho comprato prevx con licenza, quindi la possibilità di prendere virus è molto bassa giusto? Ora vediamo quanto riesco ad andare avanti, ancora un pò poi si torna da Prokoo.....

Allego così per controllare ultimo log (il problema è che quelle voci, le ultime due, di tune-up, le ho già fixate ma ricompaiono ):

http://www.mediafire.com/file/tzoyyl...hijackthis.log

fixa:

Codice:

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - Unknown owner - C:\Programmi\TuneUp Utilities 2010\TuneUpDefragService.exe (file missing)
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - Unknown owner - C:\Programmi\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (file missing)

[xcdegasp]

Quote:

Originariamente inviato da Samu78

Ragazzi ho notato che da qualche giorno dopo aver inserito la password all'accensione del pc, prima di arrivare al completamento del desktop mi ci vuole un pò, prima era veloce, ho controllato i prg all'avvio ma mi sembra tutto ok, mi controllate il log grazie mille.

pulito

[conan21]

Ragazzi ho paura di essermi preso un virus, improvvisamente il mio pc, da velocissimo è diventato lentissimo, di seguito il log:

Codice:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14.09.02, on 19/06/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18928)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\system32\schtasks.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hp\kbd\kbd.exe
C:\Users\Giuseppe\Downloads\HiJackThis.exe
C:\Windows\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TY...ion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KbdStub.EXE
O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] [ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{254A55AA-AEC2-4EE3-8980-A34D221F1BE3}: NameServer = 212.245.255.2,212.245.158.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D212F3D-E796-4BA8-AF87-6A8B57C5B6D7}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E986DFC-F536-4F4B-8631-150707E12643}: NameServer = 192.168.1.1
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe
O23 - Service: Servizio di Google Update (gupdate1c9dfca918b0122) (gupdate1c9dfca918b0122) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 6350 bytes

Ragazzi perdonatemi se lo carico cosi, ma non sono molto pratico!

[Samu78]

Quote:

Originariamente inviato da xcdegasp

pulito

Miticoo grazie mille!!!

[paolo-fcb]

Quote:

Originariamente inviato da xcdegasp

fixa:

Codice:

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - Unknown owner - C:\Programmi\TuneUp Utilities 2010\TuneUpDefragService.exe (file missing)
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - Unknown owner - C:\Programmi\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe (file missing)

grazie daniè ho fixato ma le ultime 2 voci non sono state eliminate, io tune up non l'ho mai avuto.........

[xcdegasp]

Quote:

Originariamente inviato da conan21

Ragazzi ho paura di essermi preso un virus, improvvisamente il mio pc, da velocissimo è diventato lentissimo, di seguito il log:


Ragazzi perdonatemi se lo carico cosi, ma non sono molto pratico!

la prossima volta rimuovo il log, devi leggere le regole di sezione ee rispettarle. il prossimo log ti consiglio di pubblicarlo su uno dei server consigliati, grazie

fixa:

Codice:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

che programma è?

Codice:

O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

vai al seguente link http://secunia.com/vulnerability_scanning/online/ , premi "start scanner", nella nuova finestra metti il segno di spunta sulla casella "Enable thorough system inspection" e poi premi "start", dopo qualche minuto ti mostrerà l'elenco del software da aggiornare assolutamente tra cui acrobat reader che volendo potresti sostituire con il più funzionale "foxit reader" (http://www.foxitsoftware.com/pdf/reader/) che è sempre gratuito ma molto più leggero e veloce

[conan21]

GRazie mille e scusami, provvederò a caricare i logo nbel modo corretto.
Ad ogni modo non ho risolto, il pc è rimasto lentisssimo e la ventola continua ad attivarsi di continuo!