HiJackThis - Analisi Log - leggere Regole di Sezione

[vincyilbiondo]

Ciao ragazzi,volevo chiedervi di dare un'occhiata al log del pc portatile perchè presenta i seguenti problemi:
1.In task manager ci sono ben 7 processi svchost.exe attivi,di cui alcuni system ed altri servizio locale.
2.Da test firewall risulta aperta la porta 135 e mi è stato detto, anche nella sezione di comodo pro,che può trattarsi di qualche "file" sospetto,ma ho scansionato sia con avira premium che a-squared e spybot ma niente.....
3.Dal log sembra che abbia visto delle voci strane.
Grazie della disponibilità e dell'aiuto.

[enemy85]

Quote:

Originariamente inviato da deneb87

modifica il tuo post secondo le regole (che trovi anche in prima pagina) altrimenti nn riceverai assistenza:

rimuovi il log e allegalo hostandolo su www.fileup.itadib.com grazie ^^
allega il file completo (ti sei pure dimenticato la parte iniziale del log), gia che ci sei ... controlla che sia la versione 2.02 del programma, inoltre non devi lanciarlo dal desktop poichè richiede installazione. crea una cartella in Programmi con nome HiJackThis e mettilo li

grazie ciao

fatto come mi hai detto. ecco il log

[deneb87]

io direi di fixare queste voci:

tutte le 016
O20 - Winlogon Notify: atixdaxx - atixdaxx.dll (file missing)

e a me pare sospetta anche questa ma non saprei, aspetta qualche dottore

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE

intanto disinstalla java e scarica la nuova versione, aggiorna explorer alla versione 7 (l'aggiornamento è gratuito e si scarica dal sito microsoft)

edit: se non ho letto male non hai ne SP1 ne SP2????????? o hai modificato il log? bho terrificante, misa che explorer 7 non te lo installa

[murack83pa]

Quote:

Originariamente inviato da enemy85

fatto come mi hai detto. ecco il log

ciao

sei infetto da backdoor (services.exe), e il fatto che ti appaiono 3 iexplore.exe è chiaramente un sintomo che qualkosa nn va nel pc...

i bakdoor sono trojan che lasciano una porta aperta, permettendo l'intrusione di nuovi trojan......

fixa quelle voci indicate da deneb e poi segui la guida alla disinfezione e fai tutte le scansioni previste, a fine lavoro apri un nuovo topic con tutti i log richiesti

prima di fare ciò, esegui questi aggiornamenti obbligatori:

DOWNLOAD DIRETTO SERVICE PACK 2 : QUI

INTERNET EXPLORER 7 : DOWNLOAD

se nn fai questi aggiornamenti, dopo aver fixato quelle voci, tempo 1 ora e sei di nuovo infetto.....

a te la scelta su come procedere.....

[murack83pa]

Quote:

Originariamente inviato da vincyilbiondo

Ciao ragazzi,volevo chiedervi di dare un'occhiata al log del pc portatile perchè presenta i seguenti problemi:
1.In task manager ci sono ben 7 processi svchost.exe attivi,di cui alcuni system ed altri servizio locale.
2.Da test firewall risulta aperta la porta 135 e mi è stato detto, anche nella sezione di comodo pro,che può trattarsi di qualche "file" sospetto,ma ho scansionato sia con avira premium che a-squared e spybot ma niente.....
3.Dal log sembra che abbia visto delle voci strane.
Grazie della disponibilità e dell'aiuto.

dal log di hijackthis, nn mi sembra che emerga proprio nulla

il processo svchost.exe incorporà in se moltisssimi servizi windows, quindi il fatto di avere 7 svchost.exe nn è di per se sintomo di infezione...io ne ho 4, e ho disattivato molti servizi di windows......

dal log di hijackthis, svchost è quello giusto, quindi nn dovresti preoccuparti di nulla

riguardo la porta 135, nn ti hanno detto di chiuderla con comodo?

io ho la versione 2.4, e l'ho chiusa ai tempi.....xò se mi ricordo bene, ciaba o sirio dicevano che nn era piu necessario chiudere quella porta....nel 3d di comodo che ti hanno detto?


e poi, se hai comodo 3, il suo modulo hips ti avertirrebbe di qualke anomalia in tal senso....hai disattivato il defense+? spero di no, xchè altrimenti ti conviene installare la 2.4

[deneb87]

allego il log di Hijacj perchè non so cosa siano queste voci, e poi non fa mai male far dare un occhiatina dai dottori

Codice:

O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll

log: http://www.fileup.itadib.com/downloa...FPR38eRsIiNtYx

[Mazda RX8]

Quote:

Originariamente inviato da deneb87

allego il log di Hijacj perchè non so cosa siano queste voci, e poi non fa mai male far dare un occhiatina dai dottori

Codice:

O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll
O10 - Unknown file in Winsock LSP: w2pxdrv.dll

log: http://www.fileup.itadib.com/downloa...FPR38eRsIiNtYx

fixa: O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

qsto w2pxdrv.dll è sicuro...

per il resto tutto apposto...

[deneb87]

ok, ma cosa è? non mi pareva di averlo mai visto prima
edit: visto ora fa parte di proxy cap è scaduta la trial potrei anche disinstallarlo però basta mandare indietro l'orologio e funziona ancora

se fixo questo? non è messenger? io lo avevo tolto dall'avvio....
O4 - HKUS\S-1-5-20\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background (User 'SERVIZIO DI RETE')

[Mazda RX8]

Quote:

Originariamente inviato da deneb87

ok, ma cosa è? non mi pareva di averlo mai visto prima

se fixo questo? non è messenger? io lo avevo tolto dall'avvio....
O4 - HKUS\S-1-5-20\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background (User 'SERVIZIO DI RETE')

http://www.castlecops.com/lsp-123.html

se nn ti interessa MSN fixa pure...

[IG0R]

Quote:

Originariamente inviato da deneb87

io direi di fixare queste voci:

tutte le 016
O20 - Winlogon Notify: atixdaxx - atixdaxx.dll (file missing)

e a me pare sospetta anche questa ma non saprei, aspetta qualche dottore

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\SERVICES.EXE

intanto disinstalla java e scarica la nuova versione, aggiorna explorer alla versione 7 (l'aggiornamento è gratuito e si scarica dal sito microsoft)

edit: se non ho letto male non hai ne SP1 ne SP2????????? o hai modificato il log? bho terrificante, misa che explorer 7 non te lo installa

quella non andrebbe solo accorciata anzichè fixata?

[murack83pa]

Quote:

Originariamente inviato da IG0R

quella non andrebbe solo accorciata anzichè fixata?

quel services.exe, in quella posizione, è un trojan....il che implica la necessità di un controllo approfondito del sistema, nn basta fixare quella voce...

che vuol dire "accorciata"?

[Mazda RX8]

Quote:

Originariamente inviato da murack83pa

quel services.exe, in quella posizione, è un trojan....il che implica la necessità di un controllo approfondito del sistema, nn basta fixare quella voce...

che vuol dire "accorciata"?

è una variante del gromozon...

[IG0R]

Quote:

Originariamente inviato da murack83pa

quel services.exe, in quella posizione, è un trojan....il che implica la necessità di un controllo approfondito del sistema, nn basta fixare quella voce...

che vuol dire "accorciata"?

accorciata vuol dire che services.exe appunto è un malware,mentre userinit.exe dovrebbe essere leggittimo,quindi non si dovrebbe accorciare la stringa dal regedit togliendo solo services?

[Mazda RX8]

Quote:

Originariamente inviato da IG0R

accorciata vuol dire che services.exe appunto è un malware,mentre userinit.exe dovrebbe essere leggittimo,quindi non si dovrebbe accorciare la stringa dal regedit togliendo solo services?

si...

[IG0R]

Quote:

Originariamente inviato da Mazda RX8

si...

cmq se non sbaglio è una variante poco infame,dal log non vedo nessun .exe rognoso nè nell'utente fittizzio nè nei servizi

[enemy85]

Quote:

Originariamente inviato da IG0R

accorciata vuol dire che services.exe appunto è un malware,mentre userinit.exe dovrebbe essere leggittimo,quindi non si dovrebbe accorciare la stringa dal regedit togliendo solo services?

come si fà????

tnx

[Mazda RX8]

Quote:

Originariamente inviato da enemy85

come si fà????

tnx

cerchi la kiave di registro e la editi...

[29Leonardo]

Ciao raga, qualcuno potrebbe dare un occhiata al mio log per vedere se c'è qualcosa che non và? Grazie in anticipo

[deneb87]

fixa questo

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

quegli IP al 017 li conosci?

aggiorna explorer alla versione 7

[29Leonardo]

Quote:

Originariamente inviato da deneb87

fixa questo

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

quegli IP al 017 li conosci?

aggiorna explorer alla versione 7

Ciao devo per forza aggiornare ie alla 7? io non uso ie come browser.
Per quanto riguarda gli ip no non li conosco...ma potrebbero essere degli ip di qualche client di gioco online..?