HiJackThis - Analisi Log - leggere Regole di Sezione

[juninho85]

Quote:

Originariamente inviato da layne

yBooster 2] c:\program files\uniblue\registrybooster 2\StartRegistryBooster.exe

questo è sospetto

[Gablogan]

qualcuno mi controlla il log per piacere? Ho beccato qualche tipo di virus che mi fa cadere la connessione ad internet e ritenta di connettersi da solo,nel task manager,appare un processo che si chiama 1184920480.dat,appena lo termino e lo cancello,il problema si toglie solo che dopo qualche giorni riappare nuovamente

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13.51.31, on 20/07/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmi\Trust\250S Series\lwbwheel.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
D:\Programmi\Emule Extreme\emule.exe
C:\Programmi\Analog Devices\SoundMAX\bak\SMTray.exe
D:\Programmi\Webteh\BSplayerPro\bsplayer.exe
C:\Programmi\Internet Explorer\iexplore.exe
D:\Programmi\Lavasoft\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\Programmi\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [Smapp] C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\bak\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ThrustTSR] C:\Programmi\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] D:\Programmi\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programmi\Trust\250S Series\lwbwheel.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://D:\Programmi\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://D:\Programmi\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Programmi\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://D:\Programmi\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Scarica con FlashGet - D:\Programmi\FlashGet\jc_link.htm
O8 - Extra context menu item: Scarica tutto con FlashGet - D:\Programmi\FlashGet\jc_all.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shoc...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B943DB75-DD81-4AD5-B52F-7388218FEB4F}: NameServer = 85.37.17.50 85.38.28.76
O18 - Filter hijack: text/html - (no CLSID) - (no file)
O22 - SharedTaskScheduler: Precaricatore Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Daemon di cache delle categorie di componenti - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programmi\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5756 bytes

[layne]

Quote:

Originariamente inviato da juninho85

questo è sospetto

grazie, che faccio? lo fixo??

[juninho85]

Quote:

Originariamente inviato da Gablogan

O15 - Trusted Zone: *.whataboutadog.com
O15 - Trusted Zone: *.whataboutarabit.com
O18 - Filter hijack: text/html - (no CLSID) - (no file)

elimina queste...potresti postare,dopo aver abilitato la visualizzazione dei file nascosti,il contenuto della cartella ":\windows\downloaded program files" ?

Quote:

Originariamente inviato da layne

grazie, che faccio? lo fixo??

fallo analizzare qui

[layne]

Quote:

Originariamente inviato da juninho85

fallo analizzare qui

upload del file log di hijackthis proprio?

[Bugs Bunny]

gablogan dovresti postare un log di findawf,perchè con whataboutrabit e dog spesso si trova obfuscated

[juninho85]

Quote:

Originariamente inviato da layne

upload del file log di hijackthis proprio?

no,devi uploadare il file incriminato

[layne]

Quote:

Originariamente inviato da juninho85

questo è sospetto

però l'ho istallato e disinstallato io, è un progr per verificare l'integrità del registro...
e comunque, come accedo alla cartella programfiles? non la trovo

[juninho85]

Quote:

Originariamente inviato da layne

però l'ho istallato e disinstallato io, è un progr per verificare l'integrità del registro...
e comunque, come accedo alla cartella programfiles? non la trovo

allora come non detto,se ne conosci la provenienza non c'è bisogno di verificarlo

[Gablogan]

Quote:

Originariamente inviato da Bugs Bunny

gablogan dovresti postare un log di findawf,perchè con whataboutrabit e dog spesso si trova obfuscated

ok,eccolo qui


Find AWF report by noahdfear ©2006


bak folders found
~~~~~~~~~~~

Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D8BB-FD90

Directory di C:\PROGRA~1\QUICKT~1\BAK

22/04/2007 13.46 98.304 qttask.exe
1 File 98.304 byte
2 Directory 19.747.213.312 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D8BB-FD90

Directory di C:\WINDOWS\SYSTEM32\BAK

19/08/2004 15.39 15.360 ctfmon.exe
1 File 15.360 byte
2 Directory 19.747.213.312 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D8BB-FD90

Directory di C:\PROGRA~1\ALWILS~1\AVAST4\BAK

30/04/2007 17.42 75.392 ashDisp.exe
1 File 75.392 byte
2 Directory 19.747.209.216 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D8BB-FD90

Directory di C:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK

05/05/2003 08.57 143.360 SMTray.exe
1 File 143.360 byte
2 Directory 19.747.209.216 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D8BB-FD90

Directory di C:\PROGRA~1\THRUST~1\THRUST~3\BAK

10/05/2002 14.18 225.280 TMTMTSR.exe
1 File 225.280 byte
2 Directory 19.747.209.216 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D8BB-FD90

Directory di C:\PROGRA~1\TRUST\250SSE~1\BAK

20/04/2001 13.42 429.568 lwbwheel.exe
1 File 429.568 byte
2 Directory 19.747.209.216 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D8BB-FD90

Directory di C:\PROGRA~1\FILECO~1\AHEAD\LIB\BAK

09/03/2007 18.53 153.136 NeroCheck.exe
1 File 153.136 byte
2 Directory 19.747.209.216 byte disponibili
Il volume nell'unit… C non ha etichetta.
Numero di serie del volume: D8BB-FD90

Directory di C:\PROGRA~1\FILECO~1\REAL\UPDATE~1\BAK

22/04/2007 17.07 180.269 realsched.exe
1 File 180.269 byte
2 Directory 19.747.209.216 byte disponibili
Il volume nell'unit… D non ha etichetta.
Numero di serie del volume: A89C-DA53

Directory di D:\PROGRA~1\HP\HPSOFT~1\BAK

19/02/2006 02.41 49.152 HPWuSchd2.exe
1 File 49.152 byte
2 Directory 65.924.792.320 byte disponibili


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

24080 9 Jul 2007 "C:\Programmi\QuickTime\qttask.exe"
98304 22 Apr 2007 "C:\Programmi\QuickTime\bak\qttask.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\ctfmon.exe"
15360 19 Aug 2004 "C:\WINDOWS\system32\bak\ctfmon.exe"
75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\ashDisp.exe"
75392 30 Apr 2007 "C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe"
24080 9 Jul 2007 "C:\Programmi\Analog Devices\SoundMAX\SMTray.exe"
143360 5 May 2003 "C:\Programmi\Analog Devices\SoundMAX\bak\SMTray.exe"
24080 9 Jul 2007 "C:\Programmi\Thrustmaster\Thrustmapper\TMTMTSR.exe"
225280 10 May 2002 "C:\Programmi\Thrustmaster\Thrustmapper\bak\TMTMTSR.exe"
225280 10 May 2002 "C:\Programmi\Thrustmaster\Thrustmapper Setup 310\FILESTMI\Thrustmapper\TARGET\TMTMTSR.exe"
429568 20 Apr 2001 "C:\Programmi\Trust\250S Series\LwbWheel.exe"
429568 20 Apr 2001 "C:\Programmi\Trust\250S Series\bak\lwbwheel.exe"
24080 9 Jul 2007 "C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe"
153136 9 Mar 2007 "C:\Programmi\File comuni\Ahead\Lib\bak\NeroCheck.exe"
24080 9 Jul 2007 "C:\Programmi\File comuni\Real\Update_OB\realsched.exe"
180269 22 Apr 2007 "C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe"
24080 9 Jul 2007 "D:\Programmi\HP\HP Software Update\HPWuSchd2.exe"
49152 19 Feb 2006 "D:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe"


end of report

[layne]

Quote:

Originariamente inviato da juninho85

allora come non detto,se ne conosci la provenienza non c'è bisogno di verificarlo

bien...
OT: approfitto della tua disponibilità...
sai dove posso trovare una buona guida per disabilitare un pò di servizi inutili di Vista e renderlo ancora + veloce?

thx

[Gablogan]

Quote:

Originariamente inviato da juninho85

elimina queste...potresti postare,dopo aver abilitato la visualizzazione dei file nascosti,il contenuto della cartella ":\windows\downloaded program files" ?

ho aggiornato il log dopo aver abilitato la visualizzazione dei file nascosti,nei downloaded program files l'unica cosa che mi compare è shockwaveflash

[Bugs Bunny]

lo sapevo....
disabilita ripr conf di sys
in avenger immetti questo script:

Quote:

Files to move:
C:\Programmi\QuickTime\bak\qttask.exe | C:\Programmi\QuickTime\qttask.exe
C:\WINDOWS\system32\bak\ctfmon.exe | C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Alwil Software\Avast4\bak\ashDisp.exe | C:\Programmi\Alwil Software\Avast4\ashDisp.exe
C:\Programmi\Analog Devices\SoundMAX\bak\SMTray.exe | C:\Programmi\Analog Devices\SoundMAX\SMTray.exe
C:\Programmi\Thrustmaster\Thrustmapper\bak\TMTMTSR.exe | C:\Programmi\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Programmi\Trust\250S Series\bak\lwbwheel.exe | C:\Programmi\Trust\250S Series\lwbwheel.exe
C:\Programmi\File comuni\Ahead\Lib\bak\NeroCheck.exe | C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
C:\Programmi\File comuni\Real\Update_OB\bak\realsched.exe | C:\Programmi\File comuni\Real\Update_OB\realsched.exe
D:\Programmi\HP\HP Software Update\bak\HPWuSchd2.exe | D:\Programmi\HP\HP Software Update\HPWuSchd2.exe

poi fai una passata con ccleaner

[juninho85]

Quote:

Originariamente inviato da Bugs Bunny

lo sapevo....
disabilita ripr conf di sys
in avenger immetti questo script:

minchiazza...alla faccia del sistema pulito a parte trusted zone e homepage di internet

[Bugs Bunny]

[Capitan_J]

Quote:

Originariamente inviato da layne

bien...
OT: approfitto della tua disponibilità...
sai dove posso trovare una buona guida per disabilitare un pò di servizi inutili di Vista e renderlo ancora + veloce?

thx

Ti rispondo io:
http://www.webalice.it/ertortuga/Gui...ndows%20XP.pdf

Direttamente dal mitico thread " Guida ad nLite"

[PietroMicca]

Quote:

Originariamente inviato da juninho85

minchiazza...alla faccia del sistema pulito a parte trusted zone e homepage di internet

Ot: sardo?

[juninho85]

Quote:

Originariamente inviato da PietroMicca

Ot: sardo?

...al 100%

[Gablogan]

Quote:

Originariamente inviato da Bugs Bunny

lo sapevo....
disabilita ripr conf di sys
in avenger immetti questo script:

poi fai una passata con ccleaner

fatto,perfetto adesso sembra funzionare correttamente,grazie mille

[PietroMicca]

Quote:

Originariamente inviato da juninho85

...al 100%

ot: di dove?