HiJackThis - Analisi Log - leggere Regole di Sezione

[fener2008]

Quote:

Originariamente inviato da xcdegasp

scusa il ritardo con cui ti scrivo,ma fixa:

Codice:

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O13 - Gopher Prefix:
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

fatto questo puoi disabilitare la Sidebar che ti consuma veramente una voragine di risorse di sistema appesantendolo notevolmente e dopo puoi aggiornare i vari programmi che possiedi aiutandoti con http://secunia.com/software_inspector/ facendo la scansione online alla quale al termine mostrerà i vari programmi obsoleti.
tra questi c'è sicuramente la java quindi ricordati dopo averla aggiornata di disinstallare le versioni precedenti

per un antispyware con real-time puoi anche optare per a-squared-antimalware:
promo 12 mesi gratis a-squared-antimalware scadenza attivazioni 31/07/2008 -> qui

grazie , però ipod rimane anche se fixo , continuo a vederlo
Riallego il log anche perchè ho fattto diverse modifiche ( scaduto avira ho installato il nod32 dell'ufficio)

[Chill-Out]

Quote:

Originariamente inviato da fener2008

grazie , però ipod rimane anche se fixo , continuo a vederlo
Riallego il log anche perchè ho fattto diverse modifiche ( scaduto avira ho installato il nod32 dell'ufficio)

Start - Esegui - digita cmd - OK

sc stop iPod Service -> e batti invio
sc delete iPod Service -> e batti invio

Exit per uscire ed alleghi un nuovo log

[fener2008]

Quote:

Originariamente inviato da Chill-Out

Start - Esegui - digita cmd - OK

sc stop iPod Service -> e batti invio
sc delete iPod Service -> e batti invio

Exit per uscire ed alleghi un nuovo log

mi dà [esc] open service OPERAZIONI NON USCITE 1060
in entrambe le operazioni . poi ho fatto lo scan e c'è ancora.
a volte ho notato che mi capita che 3 files SearchFilterHost.exe, SearchProtocolHost.exe and SearchIndexer.exe di punto in bianco si prendono tutto il processore e iniziano a succhiare risorse rendendo di fatto inutilizzabile il pc , qualche volta ogni tanto mi fanno questo scherzo , ma cosa sono?

[wjmat]

Quote:

Originariamente inviato da fener2008

mi dà [esc] open service OPERAZIONI NON USCITE 1060
in entrambe le operazioni . poi ho fatto lo scan e c'è ancora.
a volte ho notato che mi capita che 3 files SearchFilterHost.exe, SearchProtocolHost.exe and SearchIndexer.exe di punto in bianco si prendono tutto il processore e iniziano a succhiare risorse rendendo di fatto inutilizzabile il pc , qualche volta ogni tanto mi fanno questo scherzo , ma cosa sono?

quei processi fanno parte di Windows Desktop Search

[Chill-Out]

Quote:

Originariamente inviato da fener2008

mi dà [esc] open service OPERAZIONI NON USCITE 1060
in entrambe le operazioni . poi ho fatto lo scan e c'è ancora.
a volte ho notato che mi capita che 3 files SearchFilterHost.exe, SearchProtocolHost.exe and SearchIndexer.exe di punto in bianco si prendono tutto il processore e iniziano a succhiare risorse rendendo di fatto inutilizzabile il pc , qualche volta ogni tanto mi fanno questo scherzo , ma cosa sono?

Fixa
O23 - Service: Servizio iPod (iPod Service) - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

Risorse del computer col tasto destro del mouse - Gestione - Servizi e Applicazioni - Servizi scorri fino a trovare iPod Service prima lo Arresti poi doppio click, e in Tipo di avvio scegli Disabilitato

Esegui HJT - clicca su Open the Misc Tool section - Delete a NT service

Nella finestra inserisci: iPod Service e clicca su Ok ti chiederà di riavviare

Allega nuovo log

[RedBlueKnight]

Quote:

Originariamente inviato da Chill-Out

Pulito

Grazie mille!

[mauretto81]

raga.. mi dareste una occhiata a questo log? a me sembra pulito però chiedo aiuto al forum... grazie mille

[xcdegasp]

Quote:

Originariamente inviato da mauretto81

raga.. mi dareste una occhiata a questo log? a me sembra pulito però chiedo aiuto al forum... grazie mille

fixa:
(riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.)

Codice:

R3 - URLSearchHook: (no name) - {0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Programmi\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Ask Search Assistant BHO - {0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2} - C:\Programmi\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
O2 - BHO: Ask Toolbar BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programmi\AskSBar\bar\1.bin\ASKSBAR.DLL
O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programmi\AskSBar\bar\1.bin\ASKSBAR.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programmi\Windows Media Player\WMPNSCFG.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130608541291
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1196939064704
O17 - HKLM\System\CCS\Services\Tcpip\..\{086AAB83-9845-4E7E-B764-E766B7C25AEE}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{17E38193-4955-427C-B555-D9590A54F6AE}: NameServer = 151.99.125.1,151.99.0.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{B69A56D0-C235-4905-917F-1F7AAA234C1E}: NameServer = 85.37.17.6 85.38.28.89
O20 - AppInit_DLLs: avgrsstx.dll C:\WINDOWS\system32\guard32.dll C:\WINDOWS\system32\cssdll32.dll

sei infetto:
avgrsstx.dll -> http://www.prevx.com/filenames/X7567...RSSTX.DLL.html
a2srchas.dll -> http://www.what-is-exe.com/filenames/a2srchas-dll.html

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti facendo attenzione alle Regole di Sezione, così potremmo aiutarti (ovviamente non in questo thread)

[mauretto81]

ok... allora per prima cosa fixo subito le voci... azzz ma quanta spazzatura c'è nel portatile...

[mauretto81]

visto che ci siamo ( e mentre sto creando gli altri log ) potreste controllare anche questo log? è di un pc diverso da quello di cui ho postato il log...

[Gle89]

Quote:

Originariamente inviato da mauretto81

visto che ci siamo ( e mentre sto creando gli altri log ) potreste controllare anche questo log? è di un pc diverso da quello di cui ho postato il log...

Per quell'altro computer fixa questi programmi all'avvio dato che rallentano solo il caricamento dell Sistema Operativo!

Quote:

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programmi\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

Ti consiglio per un computer con Win 2000 di sostituire AcrobatReader che è sempre pieno di bug che portano a infezioni e molto peso in termini di MB con il software FoxitReader molto più sicuro e leggero!

[4ndrea]

Chiedo gentilmente aiuto a voi del forum..credo di avere un software keylogger nel pc,dato che ogni pass che imposto,anche di difficoltà elevata,viene scoperta e cambiata..potete darmi una mano?!non so come uscirne..

[mauretto81]

Quote:

Originariamente inviato da Gle89

Per quell'altro computer fixa questi programmi all'avvio dato che rallentano solo il caricamento dell Sistema Operativo!


Ti consiglio per un computer con Win 2000 di sostituire AcrobatReader che è sempre pieno di bug che portano a infezioni e molto peso in termini di MB con il software FoxitReader molto più sicuro e leggero!

Ciao GLe... grazie per la risposta... non ho capito: le voci che mi hai evidenziato devo fixarle nel log inviato nel messaggio numero 9498?

EDIT : voci fixate... tutto ok! grazie Glen ...

[Gle89]

Di nulla

[mauretto81]

azz.. dimenticavo... per Gle...

[4ndrea]

nessuno può dare uno sguardo al mio log?!ve ne sarei grato..

[Gle89]

Quote:

Originariamente inviato da 4ndrea

nessuno può dare uno sguardo al mio log?!ve ne sarei grato..

Ciao! Dal log di HJT non risulta nessuna infezione però puoi fixare queste voci all'avvio che rallentano solo il caricamento del tuo Sistema Operativo:

Quote:

O4 - HKLM\..\Run: [ATIPTA] "C:\Programmi\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Programmi\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background

Se pensi di avere un infezione allora apri una nuova discussione in aiuto sono infetto descrivendo i sintomi della presunta infezione e anche il tuo sistema operativo, prima di aprire il thread però segui la guida alla disinfezione pubblicando poi i log in maniera corretta come da regole di seizone.

Ti aspettiamo di la

[4ndrea]

grazie mille per il consiglio..

[Devesh]

Ciao ragazzi ho appena formattato

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.53.58, on 30/07/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
log rimosso, leggere le Regole di Sezione

--
End of file - 4477 bytes


ciaooo grandi

[Gle89]

Devesh

per favore puoi MODIFICARE il tuo precedente messaggio caricando , in base alle regole di sezione, il tuo log di hijackthis? Altrimenti non potremo analizzartelo e darti assistenza

Ti ricordo i modi per caricare il log:

Per i log composti da qualche riga di testo si può allegarli utilizzando la comoda funzione "Gestisci Allegati" (pulsante visibile nella parte in basso della finestra di composizione del messaggio) o attraverso la funzione CODE (individuabile tramite un "#" nell'area di scrittura) quì di seguito rappresentata con un immagine


lo stesso risultato è ottenibile scvrivendo manualmente il tag che dovranno racchiudere il testo interessato, esempio nell'immagine seguente


Per log corposi è caldamente consigliato inviarli su uno dei tanti server free che permettano l'hosting temporaneo di file come ad esempio wikisend.com, fileqube.com (utile anche per immagini), e mediafire.com infine copiare il link per il download e pubblicarlo nel forum nel proprio messaggio. si consiglia di riunire i link in un unico messaggio per evitare dispersione.


Ti consiglio vivamente il primo e il secondo metodo (gestione allegati o i tag code)