HiJackThis - Analisi Log - leggere Regole di Sezione

[Mr.Flea]

Grazie mille

[Mazda RX8]

Quote:

Originariamente inviato da Mr.Flea

Grazie mille

di niente...

[bagarospo81]

Anche io sono una così detta pippa del pc e ho da poco scoperto questo utile programmino di controllo HijackThis, mi chiedevo se qualcuno poteva dare un occhiata al mio log...
Vi riporto qui sotto anche un paio di file sospetti sempre preso dal log:

O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO DI RETE')

C:\Windows\system32\WLANExt.exe

O20 - AppInit_DLLs: "questo è segnalato con la crocetta rossa"

Codice:

unning processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Program Files\PC Tools Firewall Plus\FWService.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\winlogon.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
C:\Program Files\ATK Hotkey\ASLDRSrv.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\Windows\system32\WLANExt.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\ATK Hotkey\Hcontrol.exe
C:\Program Files\ATKOSD2\ATKOSD2.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\P4G\BatteryLife.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\ATK Hotkey\ATKOSD.exe
C:\Program Files\ATK Hotkey\KBFiltr.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
C:\Windows\system32\taskeng.exe
C:\Windows\System32\alg.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\ehome\ehsched.exe
C:\Windows\ehome\ehRecvr.exe
C:\Windows\system32\mmc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVIZIO DI RETE')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_17\bin\npjpi142_17.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_17\bin\npjpi142_17.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0561D9D3-FE98-46FD-BA17-7A433F50106D}: NameServer = 85.37.17.57,85.38.28.80
O17 - HKLM\System\CS1\Services\Tcpip\..\{0561D9D3-FE98-46FD-BA17-7A433F50106D}: NameServer = 85.37.17.57,85.38.28.80
O20 - AppInit_DLLs:  
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 7615 bytes

Grazie anticipatamente!!

[wjmat]

Il tuo log verra rimosso perchè gli allegati si caricano da [ qui ] o da [ qui ]
Una volta sul sito -> clicca su sfoglia -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure "Image Page URL" nel secondo e lo incolli nella risposta della discussione.
Ciao

[xcdegasp]

@ bagarospo81:
oltre a quello che detto da wjmat aggiungo che il log va pubblicato epr intero dalla prima riga all'ultima e senza manomissioni possibilmente

[bagarospo81]

Quote:

Originariamente inviato da wjmat

Il tuo log verra rimosso perchè gli allegati si caricano da [ qui ] o da [ qui ]
Una volta sul sito -> clicca su sfoglia -> poi invia o upload -> aspetta che venga caricato -> copia tutto il contenuto a fianco della della riga "Forum link nel primo caso oppure "Image Page URL" nel secondo e lo incolli nella risposta della discussione.
Ciao

..pito...faccio come dite!!!

hijackthis.log

[xcdegasp]

Quote:

Originariamente inviato da bagarospo81

..pito...faccio come dite!!!

hijackthis.log

controlla che sia un programma voluto:

Codice:

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

per ilr esto non vedo nulla di ecclatante, ti consiglio di scansionare online il pc all'indirizzo http://secunia.com/software_inspector/ dove al termine della scansione ti sergnalerà tutto il software obsoleto presente nel pc
nel caso della Java devi ricordarti di dinsinstallare quella presente attualmente

[bagarospo81]

Quote:

Originariamente inviato da xcdegasp

controlla che sia un programma voluto:

Codice:

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

per ilr esto non vedo nulla di ecclatante, ti consiglio di scansionare online il pc all'indirizzo http://secunia.com/software_inspector/ dove al termine della scansione ti sergnalerà tutto il software obsoleto presente nel pc
nel caso della Java devi ricordarti di dinsinstallare quella presente attualmente

Grazie per la risposta!
Steam è la piattaforma da cui si puo scaricare e acquistare vari giochi ed è indispensabile ad esempio se si usa Half life 2 , TF2, counter strike eccc....però a cosa sere esattamente Steamservice non lo sò.....ma tu puoi capire dal log se è un processo che si attiva all'avvio del sistema...perchè con il comando msconfig non mi risulta.

[xcdegasp]

i processi attivi all'avvio caricati dal registro di sistema sono in O4 lui era in O23 che sono servizi installati nel pc

un elenco dei codici è a questo indirizzo:
http://hometown.aol.co.uk/jrmc137/hj...l/tutorial.htm

[RedBlueKnight]

Ciao, qualcuno può darmi un'occhiata al log che ho appena eseguito con Hijackthis? Grazie in anticipo a chi vorrà rispondermi.

[Nuz]

Quote:

Originariamente inviato da RedBlueKnight

Ciao, qualcuno può darmi un'occhiata al log che ho appena eseguito con Hijackthis? Grazie in anticipo a chi vorrà rispondermi.

esegui di nuovo HiJackThis e seleziona queste:

C:\documents and settings\fontanelli\impostazioni locali\dati applicazioni\xgbtzegtet.exe

O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [LanguageShortcut] C:\Programmi\CyberLink\PowerDVD\Language\Language.exe

O4 - HKCU\..\Run: [xgbtzegtet] c:\documents and settings\fontanelli\impostazioni locali\dati applicazioni\xgbtzegtet.exe xgbtzegtet

Poi clicca su Fix Checked.

Allega un nuovo log di HijAckThis.

P.S. Comunque ti consiglio (se non lo hai già fatto) di effettuare anche le altre scansioni proposte nella guida alla disinfezione:

http://www.hwupgrade.it/forum/showthread.php?t=1599737

Quel nome random potebbe nascondere altro che con il solo HiJackThis non viene rilevato.

[RedBlueKnight]

Grazie mille, Nuz. Ho fixato le voci che mi hai indicato, e ti allego il nuovo log. Comunque farò anche le altre scansioni consigliate nella guida, e vedrò cosa mi diranno. Alla prossima e ancora grazie!

[lo_straniero]

ciao a tutti.

ogni tanto mi si blocca xp senza potere fare nulla.

ecco qui ...grazie in anticipo

[wjmat]

x lo_straniero
scarica da qui la versione aggiornata di Hijackthis e ricarica il nuovo log
ciao

[xcdegasp]

Quote:

Originariamente inviato da RedBlueKnight

Grazie mille, Nuz. Ho fixato le voci che mi hai indicato, e ti allego il nuovo log. Comunque farò anche le altre scansioni consigliate nella guida, e vedrò cosa mi diranno. Alla prossima e ancora grazie!

Adobe Reader 8.0 sostituiscilo con FoxitReader che non possiede tutte quelle falle di acrobat..

[lo_straniero]

Quote:

Originariamente inviato da wjmat

x lo_straniero
scarica da qui la versione aggiornata di Hijackthis e ricarica il nuovo log
ciao

Ecco grazie per l'info

[lancetta]

Quote:

Originariamente inviato da lo_straniero

Ecco grazie per l'info

Ciao straniero ogni tanto ti si vede
fixa queste che

Quote:

O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"

che son inutili
poi vedo un pò di processi all'avvio al limite se vuoi alleggerire lo start up
puoi fixare queste a tua discrezione...dipende se ti servano o meno

Quote:

O4 - HKLM\..\Run: [WinampAgent] C:\Programmi\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Nero\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [Nero PhotoShow Media Manager] C:\PROGRA~1\Nero\NEROPH~1\data\Xtras\mssysmgr.exe

poi se vuoi disabilitare anche parte di ctfmon per il supporto alle lingue orientali in office (a meno che tu non usi il cinese ) puoi anche seguire QUESTA GUIDA link
saluti

[lo_straniero]

Quote:

Originariamente inviato da lancetta

Ciao straniero ogni tanto ti si vede
fixa queste che
che son inutili
poi vedo un pò di processi all'avvio al limite se vuoi alleggerire lo start up
puoi fixare queste a tua discrezione...dipende se ti servano o meno
poi se vuoi disabilitare anche parte di ctfmon per il supporto alle lingue orientali in office (a meno che tu non usi il cinese ) puoi anche seguire QUESTA GUIDA link
saluti

ciao lancetta ...grazie davvero 6 stato molto gentile...ho fatto tutto quello che mi hai detto...comunque ora ho solo avira come antivirus ...firewall COMODO l'ho tolto perche ho un nuovo router netgear e mi hanno detto che non serve puoi confermare anche se è ot?

ecco il log

grazie di nuovo

[wjmat]

Quote:

Originariamente inviato da lo_straniero

firewall COMODO l'ho tolto perche ho un nuovo router netgear e mi hanno detto che non serve puoi confermare anche se è ot?

solo se configuri adeguatamente il firewall hardware...

[lancetta]

Quote:

Originariamente inviato da lo_straniero

ciao lancetta ...grazie davvero 6 stato molto gentile...ho fatto tutto quello che mi hai detto...comunque ora ho solo avira come antivirus ...firewall COMODO l'ho tolto perche ho un nuovo router netgear e mi hanno detto che non serve puoi confermare anche se è ot?

ecco il log

grazie di nuovo

[OT on]diciamo che il router è sicuramente più robusto sia del semplice modem che di un firewall soft....però così non hai controllo delle applicazioni che chiedono di uscire.....a te le conclusioni... [OT off] il log và bene
Saluti