HiJackThis - Analisi Log - leggere Regole di Sezione

[giannola]

Quote:

Originariamente inviato da xcdegasp

più leggero, più veloce nell'esecuzione, più funzioni, sopratutto possiede solo rari bugs a differenza di AcrobatReader che è da 2mesi che ogni settimana (pressapoco) viene scovato una falla altamente critica. Il 7.0 è da almeno un anno che è preda molto saporita per i malware-writer

ps: FoxitReader esiste anche nella versione che non necessita installazione per poter essere usato via chievetta-usb

ottimo, grazie.

[mauretto81]

raga... gentilmente mi controllereste il log? grazie...

[giannola]

Quote:

Originariamente inviato da mauretto81

raga... gentilmente mi controllereste il log? grazie...

tutto a posto.

[Mazda RX8]

Quote:

Originariamente inviato da mauretto81

raga... gentilmente mi controllereste il log? grazie...

consiglio: togli spyware terminator... nn è un granchè...

[yamimarik]

Quote:

Originariamente inviato da murack83pa

ma un antivirus no? nn ne vedo traccie....

scaricati ed installati AVIRA ANTIVIR, il migliroe antivirus free al momento in circolazione: www.free-av.com

una volta installato, fai una scansione completa e posta qui il report

cosa usi x navigare? internet explorer? se è cosi, ecco spiegato il motivo della tua infezione, visto che hai una versione obsoleta

beh il 2 pc che uso e 1 pò vecchiotto, nn come il mio dualcore ultrapulito.. poi vorrei sottolineare che nn lo uso io.. visto che non sto ad aprire tutti gli exe che mi si puntano davanti agli occhi..

cmq alla fine ho capito che, aprendo iexplorer il dialer si ricreava quindi ho fixato la voce impostata su pagina predefinita ovvero quella con controlpage...

[mauretto81]

Quote:

Originariamente inviato da Mazda RX8

consiglio: togli spyware terminator... nn è un granchè...

dici? io mi sono sempre trovato bene! in un paio di casi l'ho consigliato ad amici poco esperti di pc che hanno risolto in poco tempo e senza tanto armeggiare i loro problemi di dialer...

[los.federicos]

scusate ragazzi, riprendo direttamente da qui http://www.hwupgrade.it/forum/showth...1#post21582437

è un problema assai bizzarro, non sono riuscito a trovare niente in nessun forum che ne parlasse...

In pratica ho un ASUS portatile, e quindi come programma per gestire la batteria ho Power4Gear.. una settimana fa circa mi si blocca e mi da errore: la cosa strana è che OGNI VOLTA che accendo il PC tutte le caselle vuote del desktop sono riempite con file di zero Kb .tmp, si chiamano "sav" seguiti da un numero a tre cifre e alcuni da una lettera maiuscola, tipo sav201.tmp o sav290A.tmp., ed ogni volta devo cestinarli tutti..

Dunque ho disinstallato il programma e scaricandolo dal sito della asus l'ho rimesso, e ora quello funziona bene, per il problema delle icone invece non so più a che santo votarmi: scansioni antivirus con Avast, Bitdefender, Bitdefender on line, scansioni spyware con spybot e AWG, tool risolviproblemi di Ccleaner e AdvanceWindowsCare personal, Hijack, ... ho ripristinato le configurazioni di sistema a due settimane fa ma niente.. scandisk, deframmentazione, ... non so davvero più cosa fare! è un problema assurdo

posto anche un log di hijack
Clicca qui per scaricare
boooh.. grazie in anticipo a chi saprà dirmi qualcosa..

[divemaster73]

Mi e' stato consigliato di postare qui il mio log di HijackThis... il problema che non riesco a risolvere e che potrebbe nascondersi tra i processi attivi e' questo... da un po' di tempo mi appare sul desktop la finestra che potete vedere su questo link

http://www.nocrash.nl/prtscr.JPG.

Non uso messenger e nessun servizio live id quindi mi sono insospettito.. qualcuno sa dirmi da cosa e' causata l'apertura di questo messaggio e sopratutto come evitare che appaia?

Grazie mille per l'aiuto

PS
la finestra la prima volta che e' apparsa e' mentre entravo nella cartella windows del pc per svuotare i temporanei


Confermo che la finestra appare quando si entra nella cartella del proprio utente in windows (c:/Documents and Settings/proprio utente) questo e' il log di HijackThis con la finestra aperta (cosi' sono sicuro che il processo e' attivo):

[Nuz]

@ los.federicos e divemaster73:

Per favore modificate i vostri messaggi, per poter rispettare le regole in prima pagina:

Quote:

le nuove disposizioni prevedono che i log d'ora in avanti dovranno essere allegati nella discussione tramite la funzione "Gestisci Allegati" o tramite link a servizi remoti free come http://www.fileup.itadib.com/index.php .

Questo eviterà di appesantire il server (maggior velocità nel sfogliare i thread, minor disservizi, minor tempo per eseguire i backup del server) e sopratutto renderà la discussione più leggibile con i vantaggi sia per chi cerca un'analisi sia per chi dovrà assistere l'utente bisognoso.

Nessuno dovrà più dare assistenza agli utenti che non rispettano tale regola.

http://www.hwupgrade.it/forum/showpo...55&postcount=1

[divemaster73]

credo che cosi' vada meglio... scusate ma non avevo letto effettivamente le regole per i log.. mea culpa

[Nuz]

Quote:

Originariamente inviato da los.federicos

scusate ragazzi, riprendo direttamente da qui http://www.hwupgrade.it/forum/showth...1#post21582437

è un problema assai bizzarro, non sono riuscito a trovare niente in nessun forum che ne parlasse...

In pratica ho un ASUS portatile, e quindi come programma per gestire la batteria ho Power4Gear.. una settimana fa circa mi si blocca e mi da errore: la cosa strana è che OGNI VOLTA che accendo il PC tutte le caselle vuote del desktop sono riempite con file di zero Kb .tmp, si chiamano "sav" seguiti da un numero a tre cifre e alcuni da una lettera maiuscola, tipo sav201.tmp o sav290A.tmp., ed ogni volta devo cestinarli tutti..

Dunque ho disinstallato il programma e scaricandolo dal sito della asus l'ho rimesso, e ora quello funziona bene, per il problema delle icone invece non so più a che santo votarmi: scansioni antivirus con Avast, Bitdefender, Bitdefender on line, scansioni spyware con spybot e AWG, tool risolviproblemi di Ccleaner e AdvanceWindowsCare personal, Hijack, ... ho ripristinato le configurazioni di sistema a due settimane fa ma niente.. scandisk, deframmentazione, ... non so davvero più cosa fare! è un problema assurdo

posto anche un log di hijack
Clicca qui per scaricare
boooh.. grazie in anticipo a chi saprà dirmi qualcosa..

Dal log non si evincono infezioni, effettua uno scan anche con prevxcsi e gmer come indicato nella guida:

http://www.hwupgrade.it/forum/showthread.php?t=1599737

Effettua anche uno scan qui:

http://secunia.com/software_inspector/

[Nuz]

Quote:

Originariamente inviato da divemaster73

credo che cosi' vada meglio... scusate ma non avevo letto effettivamente le regole per i log.. mea culpa

Purtroppo dal log non vedo nessuna infezione. Prova ad eseguire la guida, poi apri una discussione e posta tutti i log.

http://www.hwupgrade.it/forum/showthread.php?t=1599737

[divemaster73]

Quote:

Originariamente inviato da Nuz

Purtroppo dal log non vedo nessuna infezione. Prova ad eseguire la guida, poi apri una discussione e posta tutti i log.

http://www.hwupgrade.it/forum/showthread.php?t=1599737

Francamente detto tra noi ho eseguito tutte le scansioni consigliate nella guida ed ho anche postato ma non credo sia un virus.

La cosa piu' probabile e' che sia una funzione di Windows magari attivata per sbaglio che fa apparire quella finestra.. sembra mricrosoft originale... a nessuno e' mai capitato?

comunque la linea del log di Hijack che ritengo "responsabile" della finestra e' questa:

{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

ma non riesco a capire perche' compare...

[los.federicos]

Quote:

Originariamente inviato da Nuz

Dal log non si evincono infezioni, effettua uno scan anche con prevxcsi e gmer come indicato nella guida:

http://www.hwupgrade.it/forum/showthread.php?t=1599737

Effettua anche uno scan qui:

http://secunia.com/software_inspector/

Dunque la guida già l'avevo seguita..

Dal secondo link invece mi segnala un mancato aggiornamento di macromedia FlashPlayer e di SunJava..
Effettivamente avevo problemi con Macromedia FlashPlayer, il sito della gazzetta ne necessita per la visualizzazione dei risultati live, ed ogni volta mi diceva che necessitava dell'aggiornamento, ed io ogni volta nel sito a scaricare la versione più recente ed installarla e poi era come se non me l'installasse..
Ma francamente non so se il problema sia questo..

[los.federicos]

Amen.. problema sparito, a quanto pare era dovuto a micromedia flashplayer.. ho disinstallato, ho fatto una bella pulizia con recleaner e ho reinstallato il tutto..

Grazie mille nuz

[Alessandro1974]

potete controllarmi il mio log?

ringrazio anticipatamente

[xcdegasp]

Quote:

Originariamente inviato da Alessandro1974

potete controllarmi il mio log?

ringrazio anticipatamente

rifai la scansione con HiJackThis scegliedo "Scan Only", al termine il bottone in fondon a sinistra si chiamerà "Fix IT" quindis elezionare le voci desiderate e premere tale pulsante.
Fixa le seguenti voci:

Codice:

R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\FlyNet\CnxDslTb.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [Active Desktop Calendar] C:\Programmi\XemiComputers\Active Desktop Calendar\ADC.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programmi\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Programmi\MAGIX\Common\Database\bin\fbserver.exe (file missing)

O23 - Service: Remote HID Service (LvHidSvc) - Animation Technologies Inc. - C:\WINDOWS\system32\lvhidsvc.exe

e disinstalla quella cazzata di SiteAdvisor di McAffee che è completamente inutile visto che non ha una scansione a temporeale e segnala come infetti i siti della concorrenza...

[Alessandro1974]

difatti, come ho risposto nell'altra discussione, pare fosse quello che creava la maggior parte dei problemi

una domanda, fixare con hjt quelle voci cosa comporta esattamente?

[xcdegasp]

stoppi questi servizi e li rimuovi dallo startup ossia al prossimo riavvio di windows non dovrebbero più ripartire

[Alessandro1974]

k stasera proveremo..