HiJackThis - Analisi Log - leggere Regole di Sezione - Pagina 377

ilmaestro85 · 15-11-2007, 14:29

Quote:

Originariamente inviato da BEY0ND

C:\WINDOWS\system32\pyobrzkqe.exe
C:\WINDOWS\system32\qgukbfbly.exe

questi due li farei analizzare su virustotal.com
nel caso venissero segnalati come malevoli dovresti fixare nel log:

-C:\WINDOWS\system32\pyobrzkqe.exe
-O4 - HKLM\..\Run: [qgukbfbly] C:\WINDOWS\system32\qgukbfbly.exe
-O4 - HKLM\..\Run: [pyobrzkqe] C:\WINDOWS\system32\pyobrzkqe.exe
O23 - Service: Print Spooler Service (yiuaivfb8aaee5aa) - Unknown owner - C:\WINDOWS\system32\pyobrzkqe.exe

vedi prima se qualcuno conferma....

grazie!

xcdegasp · 15-11-2007, 15:09

Quote:

Originariamente inviato da murack83pa

secondo il mio modesto parere, la miglior cosa è postare il log con gestione allegati (aumentando la dimensione max), se no veramente nn si capisce piu niente....per leggere un pagina c si impiega giorni
ciao

concordo vivamente

@ A Tutti:
chi usa il tag QUOTE al posto del CODE per postare il log non deve avere il privilegio di essere aiutato!
nella pagina precedente ho notato che un utente aveva usato QUOTE per il log e gli è stato analizzato il log..

BEY0ND · 15-11-2007, 15:15

@ peppehw
O4 - Global Startup: GammaTray.lnk = ?
O23 - Service: STI Simulator - Avira GmbH - (no file)

queste due credo potrebbero essere fixate,ma aspetta la conferma degli altri prima

PeppeHW · 15-11-2007, 15:32

Quote:

Originariamente inviato da BEY0ND

@ peppehw
O4 - Global Startup: GammaTray.lnk = ?
O23 - Service: STI Simulator - Avira GmbH - (no file)

queste due credo potrebbero essere fixate,ma aspetta la conferma degli altri prima

Per questi allora aspetto conferma, per il resto mi pare di capire che è OK?

Grazie.

balsamo · 15-11-2007, 20:06

aiuto come si usa zip genius 6 .come elimino la cronologia o un file

Mazda RX8 · 15-11-2007, 20:37

Quote:

Originariamente inviato da balsamo

aiuto come si usa zip genius 6 .come elimino la cronologia o un file

??

devi zippare il log?

juninho85 · 15-11-2007, 22:36

Quote:

Originariamente inviato da balsamo

aiuto come si usa zip genius 6 .come elimino la cronologia o un file

chiederlo qui perchè....?

Atreyu_83 · 16-11-2007, 00:16

Ciao a tutti.....scusate, ma non riesco ad eliminare questa voce pericolosa con HiJackThis

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

sono entrato in modalità provvisoria ed ho provato a cercarlo ma non l'ho trovato per cancellarlo. Ho provato anche a farlo fare ad HiJackThis in modalità provvisoria ma niente. Ho già ripulito tutto con ccleaner

come posso fare???

Thanks

BEY0ND · 16-11-2007, 00:34

a questo punto dovresti postare nella sezione aiuto sono infetto....

cmq io disabiliterei il ripristino,farei una pulizia con ccleaner e poi da provvisoria cancellerei il file seguendo questo percorso
C:\WINDOWS\system\smss.exe
al limte se non va via userei il tool della nod AGVPFIX per cancellarlo definitivamente,perchè nella norma quel file si trova in system32,poi tramite hthis andrei a cancellare quella voce run che segnali nel tuo post...
aspetta prima altri pareri però....

Bugs Bunny · 16-11-2007, 13:10

Quote:

Originariamente inviato da Atreyu_83

Ciao a tutti.....scusate, ma non riesco ad eliminare questa voce pericolosa con HiJackThis

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

sono entrato in modalità provvisoria ed ho provato a cercarlo ma non l'ho trovato per cancellarlo. Ho provato anche a farlo fare ad HiJackThis in modalità provvisoria ma niente. Ho già ripulito tutto con ccleaner

come posso fare???

Thanks

sicuro che non sia un file nascosto?

furettone · 16-11-2007, 15:37

Logfile of HijackThis v1.99.1
Scan saved at 16.29.57, on 16/11/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Eset\nod32kui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe
C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\msnmsgr.exe
C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programmi\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Winamp\winampa.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\WinRAR\WinRAR.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Rar$EX02.156\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.virgilio.it
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.virgilio.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsgCenterExe] "C:\Programmi\File comuni\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.virgilio.it
O17 - HKLM\System\CCS\Services\Tcpip\..\{19CA8E9B-83A1-4AB9-98BF-84616AD3ABCE}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe

grazie ho bisogno del vostro aiuto
c'è disconnesione routeer atlantis
Scusate il siturbo

Nuz · 16-11-2007, 15:50

Quote:

le nuove disposizioni prevedono che i log d'ora in avanti dovranno essere allegati nella discussione tramite la funzione "Gestisci Allegati" o tramite link a servizi remoti free come www.zshare.com .

Questo eviterà di appesantire il server (maggior velocità nel sfogliare i thread, minor disservizi, minor tempo per eseguire i backup del server) e sopratutto renderà la discussione più leggibile con i vantaggi sia per chi cerca un'analisi sia per chi dovrà assistere l'utente bisognoso.

Nessuno dovrà più dare assistenza agli utenti che non rispettono tale regola.

Sei invitato ad attenerti alle regole di sezione. Perciò modifica il tuo precedente messaggio seguendo le disposizioni che ti ho riportato sopra.

Otterrai sicuramente l'aiuto che cerchi.

furettone · 16-11-2007, 15:53

Quote:

Originariamente inviato da Nuz

Sei invitato ad attenerti alle regole di sezione. Perciò modifica il tuo precedente messaggio seguendo le disposizioni che ti ho riportato sopra.

Otterrai sicuramente l'aiuto che cerchi.

ok scusate
dove trova la funzione gestione allegati?
come allego il file?
grazie

xcdegasp · 16-11-2007, 15:57

Quote:

Originariamente inviato da furettone

ok scusate
dove trova la funzione gestione allegati?
come allego il file?
grazie

mentre sei nella modalità inserimento della finestra dei post in basso hai il menù "Gestisci Allegati", altriemnti puoi benissimo upparlo su uno spazio remoto gratuito come www.zshare.net

murack83pa · 16-11-2007, 15:57

prendi il tuo post iniziale
digli modifica
digli poi avanzate
in basso poi ti spunta opzioni aggiuntive, li gestisci allegati
(ovvero:se guardi nella finestra del messaggio,in altro dove indica il carattere, la sua diemnzione,ecc c'è una icona con disegnato una graffetta, cliccaci)

EDIT: ops....nn avevo visto....

Nuz · 16-11-2007, 15:59

edit...

furettone · 16-11-2007, 16:01

eccolopenso di averlo caricato
è un.doc
grazie per l'aiuto

xcdegasp · 16-11-2007, 16:08

Quote:

Originariamente inviato da furettone

eccolopenso di averlo caricato
è un.doc
grazie per l'aiuto

puoi benissimo tenerlo come txt visto che già lo possiedi in questo formato, non vedo bisogno di convertirlo a file di word.
a questo punto inseriuscilo in un nuovo post, ma elimina il log dal precedente post

e se non riesci con gestione allegati esiste sempre l'altro sistema

SuGaR0 · 16-11-2007, 16:14

Quote:

Originariamente inviato da Atreyu_83

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

Ma questo non è session manager ?

juninho85 · 16-11-2007, 16:14

Quote:

Originariamente inviato da SuGaR0

Ma questo non è session magaer ?

no

15-11-2007, 20:06	#7525
balsamo Junior Member Iscritto dal: Nov 2007 Messaggi: 29	zip genius 6 aiuto come si usa zip genius 6 .come elimino la cronologia o un file

16-11-2007, 15:37	#7531
furettone Senior Member Iscritto dal: Sep 2005 Messaggi: 336	Logfile of HijackThis v1.99.1 Scan saved at 16.29.57, on 16/11/2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programmi\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programmi\Eset\nod32kui.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Programmi\MSN Messenger\msnmsgr.exe C:\Programmi\File comuni\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programmi\Eset\nod32krn.exe C:\WINDOWS\system32\svchost.exe C:\Programmi\PC Connectivity Solution\ServiceLayer.exe C:\WINDOWS\system32\wscntfy.exe C:\Programmi\MSN Messenger\usnsvc.exe C:\Programmi\Winamp\winampa.exe C:\Programmi\Mozilla Firefox\firefox.exe C:\Programmi\WinRAR\WinRAR.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\DOCUME~1\ADMINI~1\IMPOST~1\Temp\Rar$EX02.156\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.virgilio.it R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.virgilio.it/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [nod32kui] "C:\Programmi\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programmi\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsgCenterExe] "C:\Programmi\File comuni\Real\Update_OB\RealOneMessageCenter.exe" -osboot O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\MSN Messenger\msnmsgr.exe" /background O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: START_PAGE_URL=http://www.virgilio.it O17 - HKLM\System\CCS\Services\Tcpip\..\{19CA8E9B-83A1-4AB9-98BF-84616AD3ABCE}: NameServer = 208.67.222.222,208.67.220.220 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programmi\Eset\nod32krn.exe O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programmi\Sygate\SPF\smc.exe grazie ho bisogno del vostro aiuto c'è disconnesione routeer atlantis Scusate il siturbo Ultima modifica di furettone : 16-11-2007 alle 16:02.

16-11-2007, 15:57	#7535
murack83pa Bannato Iscritto dal: Oct 2007 Città: Palermo Messaggi: 4623	prendi il tuo post iniziale digli modifica digli poi avanzate in basso poi ti spunta opzioni aggiuntive, li gestisci allegati (ovvero:se guardi nella finestra del messaggio,in altro dove indica il carattere, la sua diemnzione,ecc c'è una icona con disegnato una graffetta, cliccaci) EDIT: ops....nn avevo visto.... Ultima modifica di murack83pa : 16-11-2007 alle 16:55.

16-11-2007, 15:59	#7536
Nuz Senior Member Iscritto dal: Feb 2007 Città: Roma Messaggi: 2155	edit... __________________ Kaspersky Virus Removal Tool \| Avira AntiVir Rescue System \| Threatfire in Italiano \| Norton User Account Control (beta) La tua prossima affermazione sarà un No? Rispondi con un Si o un No.

15-11-2007, 15:15	#7523
BEY0ND Senior Member Iscritto dal: Apr 2007 Messaggi: 2306	@ peppehw O4 - Global Startup: GammaTray.lnk = ? O23 - Service: STI Simulator - Avira GmbH - (no file) queste due credo potrebbero essere fixate,ma aspetta la conferma degli altri prima

16-11-2007, 00:16	#7528
Atreyu_83 Member Iscritto dal: Nov 2007 Messaggi: 40	Ciao a tutti.....scusate, ma non riesco ad eliminare questa voce pericolosa con HiJackThis O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w sono entrato in modalità provvisoria ed ho provato a cercarlo ma non l'ho trovato per cancellarlo. Ho provato anche a farlo fare ad HiJackThis in modalità provvisoria ma niente. Ho già ripulito tutto con ccleaner come posso fare??? Thanks

16-11-2007, 00:34	#7529
BEY0ND Senior Member Iscritto dal: Apr 2007 Messaggi: 2306	a questo punto dovresti postare nella sezione aiuto sono infetto.... cmq io disabiliterei il ripristino,farei una pulizia con ccleaner e poi da provvisoria cancellerei il file seguendo questo percorso C:\WINDOWS\system\smss.exe al limte se non va via userei il tool della nod AGVPFIX per cancellarlo definitivamente,perchè nella norma quel file si trova in system32,poi tramite hthis andrei a cancellare quella voce run che segnali nel tuo post... aspetta prima altri pareri però....

16-11-2007, 16:01	#7537
furettone Senior Member Iscritto dal: Sep 2005 Messaggi: 336	eccolopenso di averlo caricato è un.doc grazie per l'aiuto

Strumenti
Mostra una versione stampabile Invia questa pagina per email