HiJackThis - Analisi Log - leggere Regole di Sezione

[Riverside]

Quote:

Originariamente inviato da gabrib

Scusa se ne approfitto: ho lanciato l'aggiornamento di java vorrei sapere se le opzioni del menu che vedi nell' indirizzo ...... sono corrette o se devo modificarle.

Sono corrette.

Quote:

Originariamente inviato da gabrib

Inotre in pannello di controllo->installazioni applicazioni risultano ben due java installate:
J2SE Runtime Environment 5.0 update 6
Java 2 Runtime Environment SE v 1.4.2
Secondo te dopo l'ggiornamento posso disinstallarle?

Se le vuoi disinstallare, ti suggerisco di non eseguire l'aggiornamento.
Prima disinstalli le versioni superate e poi scarichi ed installi la versione più recente di JavaSun:
installa JAVASUN:clicca qui per il download

Scegli tu ciò ritieni più opportuno.

[xcdegasp]

installa senza problemi l'aggiornamento della JVM e poi disinstalla la precedente versione, non succede nulla ed è assolutamente la stessa cosa che disinstallare prima e poi installare.. l'importante è non lasciare entrambe nel pc

[gabrib]

Grazie ragazzi!!!

[marconun]

allora posto qui il mio problema
io ho un problema con hijackthis quando analizzo il log dal sito mi dice di fixare una voce ma il problema è che si ripresenta ogni volta e non lo riesco ad eliminare ora vi posto il log di hijack
la voce il questione è F2

[Moskiton]

ciao a tutti sono disperato

un po di tempo fa per sbaglio (stavo guardando la tv) ho aperto un file che mi avevano mandato in automatico su msn e che si spaciava per un immagine ma che in realta era un applicazione ms dos
ho fatto livekill messenger, msnfix e spyware doctor e pensavo che ormai avessi risolto invece alcuni dei miei amici continuano a ricevere il file infetto da parte mia in automatico su msn
e poco fa google mi dice che nn posso fare alcuna ricerca perche ho un virus che manda di continuo delle ricerche in automatico (mai successo come cosa)

questo sarebbe il mio primo vero virus

questo e il log hijackthis:

Codice:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19.30.23, on 06/01/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmi\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programmi\CyberLink\Shared Files\RichVideo.exe
C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\MSN Messenger\MsnMsgr.Exe
C:\Programmi\TGTSoft\StyleXP\StyleXP.exe
C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe
C:\Programmi\DAEMON Tools Pro\DTProAgent.exe
C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
C:\Programmi\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programmi\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Mozilla Firefox\firefox.exe
C:\Programmi\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=129.132.57.5:3128;
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programmi\File comuni\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programmi\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [wgrsibugd] C:\WINDOWS\system32\wgrsibugd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programmi\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88A56B10AA}] "C:\Programmi\File comuni\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Programmi\DAEMON Tools Pro\DTProAgent.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programmi\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programmi\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programmi\File comuni\Autodesk Shared\acstart17.exe
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crea preferiti portatile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programmi\File comuni\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by104fd.bay104.hotmail.msn.co...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1180834598417
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FILECO~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmi\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programmi\File comuni\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmi\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programmi\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programmi\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmi\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmi\Spyware Doctor\swdsvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programmi\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programmi\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programmi\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Print Spooler Service (yueiianauakj) - Unknown owner - C:\WINDOWS\system32\wgrsibugd.exe (file missing)

--
End of file - 9029 bytes

dite che se compro Kapersky Internet Security mi possa risolvere il problema? o e meglio Nod ?
nn ho mai avuto un antivirus a pagamento solo avast e in tutti questi anni nn avevo mai avuto problemi...

[murack83pa]

Quote:

Originariamente inviato da marconun

allora posto qui il mio problema
io ho un problema con hijackthis quando analizzo il log dal sito mi dice di fixare una voce ma il problema è che si ripresenta ogni volta e non lo riesco ad eliminare ora vi posto il log di hijack
la voce il questione è F2

ciao marco,
ti comunico che sei infetto, mi dispiace
ciò significa questo:
1- leggiti x bene le regole di sezione
2-segui la guida alla disinfezione

stai attento a come posti i log, scegliendo tra:
1)i tag (code) (/code)
2)la funzione allegati, rinominando i log in formato txt
3)caricare il log su un server come www.zshare.net, copiando qui i link x il download

è preferibile quest'ultima opzione
ciò significa che devi aprire una nuova discussione e seguire la guida sopra indicata
c vediamo presto di la
ciao ciao

EDIT: in teoria avresti bisogno solo del seguente tool, che si scarica dal blog di pc al sicuro
xò cmq è sempre meglio seguire la guida

[murack83pa]

@ moskiton:
leggiti x bene le regole di sezione:
dalle regole si desume facilmente che hai sbagliato a postare qui, in quanto infetto
se è vero che sei stato infettato dal virus di msn, facendo una breve ricerca noteresti il 3d ufficiale x la rimozione di questo virus, che prevede una procedura molto complessa....
credo che dovresti andare al 3d ufficiale x la rimozione del virus di msn e postare li
ciao ciao

edit: inoltre, devi eliminare il tuo log di hijakcthis in quanto nn conforme alle regole di questo 3d, pensate x rendere l'aiuto il piu facile e immediato possibile

[Moskiton]

gia fatto infatti e nn e cambiato nulla

ho seguita tutta la procedura e nn penso di avere sbagliato qualcosa
se posto qui e perche nn so dove altro andare

[murack83pa]

Quote:

Originariamente inviato da Moskiton

gia fatto infatti e nn e cambiato nulla

ho seguita tutta la procedura e nn penso di avere sbagliato qualcosa
se posto qui e perche nn so dove altro andare

nn sai dove andare?
nel 3d ufficiale x la rimozione del virus di msn no?
ho visto che hai postato li, ma nn hai postato alcun log richiesto....guarda questo post dell'autore della guida, river......sicuro che hai seguito la guida? i log che erano richiesti nn sono stati postati, neanche uno....in ogni caso continua a postare li...

[marconun]

ora il pc va bene e il log di hijack non mi da problemi, poi quando avvio google non mi da piu problemi
grazie
p.s. devo ripostare lo stello il log di hijack?

[murack83pa]

si,ripostalo
hai utilizzato quel tool?
io fossi in te, darei un controllatina con un programmino efficacisssimo e leggere e veloce nella scansione: prevx csi, che trovi nella guida alla disinfezione
fallo girare, con la connessione internet attivata, se ti trova qualke cosa fammi sapere,
ciao ciao

[marconun]

ora riposto il log
il tool l'ho usato perche le altre operazione preliminari gia le avevo fatte e non avevano portato a risultati

[Riverside]

Quote:

Originariamente inviato da marconun

allora posto qui il mio problema
io ho un problema con hijackthis quando analizzo il log dal sito mi dice di fixare una voce ma il problema è che si ripresenta ogni volta e non lo riesco ad eliminare ora vi posto il log di hijack la voce il questione è F2

Ciao Marconun, hai seguito la procedura che ti avevo indicato qui??: http://www.hwupgrade.it/forum/showpo...26&postcount=2

Quote:

Originariamente inviato da murack83pa

ciao marco, ti comunico che sei infetto, mi dispiace

Sulla base di cosa sei giunto a questa conclusione Murack?
Il suo problema non è più una infezione (è stata ampiamente rimossa, indipendentemente dal fatto che abbia, o meno, allegato i relativi log - sbagliando) ma altro, come, peraltro, potrai, anche tu, constatare.

[marconun]

x riverside
si l'ho seguita tutta quanta
solo che il problema con quella voce su hijackthis ancora stava li
cmq ho fatto l'analisi con prevx CSI e mi ha trovato 4 voci ora pero mi chiede di acquisire la licenza

[Riverside]

Quote:

Originariamente inviato da marconun

x riverside si l'ho seguita tutta quanta solo che il problema con quella voce su hijackthis ancora stava li

Impossibile.

Quote:

Originariamente inviato da marconun

..... ho fatto l'analisi con prevx CSI e mi ha trovato 4 voci ora le pulisco

Che pulisci e come? devi allegare il log di PrevX CSI (non ti fa rimuovere nulla).

Fai cosi:

● riesegui una scansione con PrevX CSI
al termine della scansione, clicca su:
● Options
● Save Log
allega il log che verrà rilasciato

Poi, ripeti una scansione con Hthis ed allega un nuovo log

P.S.: questa discussione non dovrebbe stare in questo thread, ma altrove.

[murack83pa]

Quote:

Originariamente inviato da Riverside

Sulla base di cosa sei giunto a questa conclusione Murack?

x prima cosa, sulla base di questa voce:

Quote:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe

nots.exe è prodotto da un trojan, secondo quanto affermato in pc al sicuro, qui
sinceramente nn avevo visto che l'utente già aveva aperto un 3d....
ed è da quell'articolo che ho indicato il tool x la rimozione...

[marconun]

questo è il log di hijackthis , il lod di prevx CSI è di 375 kb non lo posso allegare come faccio??? lo metto tra[code ] [ code/]???

cmq ho postato qui come detto dal moderatore che mi ha chiuso il tread

[murack83pa]

lo carichi sul sito www.zshare.net e copi qui il link x il donwload
ps: dai un piccolo sguardo alle regole di sezione

[marconun]

scusate ma oggi per me non è proprio giornata
http://www.zshare.net/download/6253059aec7b46/

[murack83pa]

sei infetto da trojan nudos, vediamo cosa ti dice il dottor river
bye